Взломали сайт – Как стать хакером и как взломать сайт или беглое знакомство с OWASP Testing Guide

Содержание

Что делать, если ваш сайт взломали

Ежедневно взламывают тысячи сайтов. Редко когда владелец грамотно оценивает риски и осознанно относится к проблеме безопасности своего сайта. Обычно до момента взлома сайт считается неуязвимым, а у владельца остается 100% уверенность, что беда обойдет его стороной.

Сегодня мы поговорим о том, что делать, если сайт взломали или на сайте появился вирус (последнее всегда является следствием взлома). А также поделимся простыми и эффективными советам по минимизации рисков взлома.

Взлом сайта могут обнаружить по прямым или косвенным признакам как владелец сайта, так и посетители или хостинг-провайдер. Часто при взломе сайта владелец начинает обвинять хостинг в некачественном администрировании сервера или недостаточной защите аккаунта. Не нужно спешить искать крайних, так как практика показывает, что подавляющее большинство взломов происходит как раз по вине владельца сайта, который не следовал элементарным правилам безопасной работы в сети. Более того, в случае проблем с сайтом правильная организация взаимодействия с хостингом поможет владельцу оперативно решить проблему и избежать повторного взлома, так как хостер заинтересован в бесперебойной работе доверенного ему сайта и его безопасности.

Итак, если ваш сайт взломали, незамедлительно выполните следующие действия:

1. Соберите информацию о взломе, чтобы провести анализ и разобраться, как именно это произошло:
  1. запросите в тех поддержке хостинга журналы (логи) веб-сервера за весь доступный временной интервал (существуют два вида логов: access_log и error_log),
  2. запросите в тех поддержке хостинга журнал (лог) ftp-сервера,
  3. опишите проблему с сайтом, чтобы зафиксировать дату и, желательно, время. Также зафиксируйте все найденные сбои в работе (такие как замена главной страницы; спам-ссылки и страницы, на которых они появились; мобильный редирект; срабатывание десктопного антивируса или антивируса поисковой системы).
На основе собранной информации вы можете самостоятельно определить способ взлома. Например, по дате изменений файла .htaccess и анализу ftp лога можно понять, что взлом сайта произошел по ftp. Это значит, что у вас украли пароль от ftp. Если самостоятельно провести анализ и диагностику вы не можете, обратитесь к специалистам по лечению и защите сайтов.

2. Проверьте все рабочие компьютеры, с которых выполнялось подключение к сайту, коммерческим антивирусом с обновляемыми базами.

3. Смените пароль от хостинга, от ftp и от административной панели сайта. Пароли должны быть сложными, содержать заглавные, маленькие буквы и цифры, а также быть длинными (не менее 7 символов).

4. Если сайт перестал работать, восстановите его, используя резервную копию.


После того как работа сайта восстановлена важно выполнить ряд действий для защиты сайта от взлома:
1. Выполните сканирование сайта на наличие хакерских скриптов бесплатными сканерами (AI-BOLIT, ClamAv, LMD). Удалите найденные вредоносные скрипты.

2. Обновите версию cms до последней доступной на сайте официального разработчика. Если выходили обновления и патчи для модулей и плагинов cms, их также необходимо установить.

3. Установите защиту на сайт:

  1. установите плагины мониторинга сайта и контроля за изменениями файлов,
  2. закройте доступ в админ-панель сайта дополнительным паролем или авторизацией по ip адресу,
  3. сделайте все системные файлы и папки, которые не изменяются, ”только для чтения”,
  4. отключите ненужные php функции в файле php.ini,
  5. запретите вызов php скриптов в папках загрузки файлов, кэш- и временных папках.

Данные меры сделают невозможным эксплуатацию уязвимостей скриптов и существенно повысят уровень безопасности вашего сайта.

Если самостоятельно выполнить данные действия вы затрудняетесь, обратитесь к специалистам по лечению и защите сайтов.

Важно отметить, что выполнение перечисленных действий не защитит сайт от взлома на 100%, так как всегда остается “человеческий фактор” в лице администраторов сайта, контент-менеджеров, seo-специалистов и веб-разрабочиков, которым для выполнения определенных работ предоставляется доступ к сайту или хостингу. Вам, как владельцу сайта, нужно грамотно организовать взаимодействие с этими специалистами, чтобы минимизировать риски взлома и заражения сайта:

1. Разграничьте и ограничьте административный доступ к сайту. У каждого специалиста должен быть свой аккаунт с необходимым минимальным набором привилегий. Действия администраторов должны логироваться (записываться в журнал действий). То же касается и доступов по ftp/ssh к хостингу.

2. Установите сложные пароли и регулярно меняйте их для администраторов сайта и хостинга.

3. Используйте безопасное подключение к сайту (sftp вместо ftp)

4. Все специалисты, которые работают с сайтом, должны гарантировать отсутствие вирусов на своих рабочих компьютерах и использовать антивирусные решения с регулярно обновляемыми базами при работе в сети.


Помните, что вопрос безопасности сайта требует постоянного внимания, а защита сайта не бывает удобной, так как приходится постоянно искать баланс между способами эффективной защиты сайта и удобством его администрирования. Но даже простое следование описанным выше рекомендациям значительно снижает риск взлома и заражения сайта.

Обсуждаем и комментируем

Сайт взломан. Кто виноват и что делать?

Ежедневно взламывают тысячи сайтов. Редко когда владелец грамотно оценивает риски и осознанно относится к проблеме безопасности своего сайта. Обычно до момента взлома сайт считается неуязвимым, а у владельца остается 100% уверенность, что беда обойдет его стороной.

Сегодня мы поговорим о том, что делать, если сайт взломали или на сайте появился вирус (последнее в большинстве случаев является следствием взлома). А также поделимся простыми и эффективными советам по минимизации рисков взлома.

Взлом сайта могут обнаружить по прямым или косвенным признакам как владелец сайта, так и посетители или хостер. Часто при взломе сайта владелец начинает обвинять хостинг в некачественном администрировании сервера или недостаточной защите аккаунта. Не нужно спешить искать крайних, так как практика показывает, что подавляющее большинство взломов происходит как раз по вине владельца сайта, который не следовал элементарным правилам безопасной работы в сети. Более того, в случае проблем с сайтом правильная организация взаимодействия с хостингом поможет владельцу оперативно решить проблему и избежать повторного взлома, так как хостер заинтересован в бесперебойной работе доверенного ему сайта и его безопасности.

Итак, если ваш сайт взломали, незамедлительно выполните следующие действия:
  1. Перед тем как восстанавливать сайт из бэкапа, cоберите информацию о взломе, чтобы вы или специалисты смогли провести анализ и разобраться, как именно сайт скомпрометировали:
    • запросите в тех. поддержке хостинга журналы (логи) веб-сервера за весь доступный временной интервал. Запрашивать нужно следующие логи: access_log, error_log — это логи веб-сервера, лог ftp подключений и файловых операций, лог ssh подключений и файловых операций по sftp, лог операций в панели управления хостингом,
    • опишите проблему с сайтом, чтобы зафиксировать дату и, желательно, ориентировочное время. Также зафиксируйте все найденные сбои в работе (такие как замена главной страницы; спам-ссылки и страницы, на которых они появились; мобильный/поисковый редирект; срабатывание десктопного антивируса или антивируса поисковой системы; посторонние файлы, которые вы не загружали).
    • если достаточно дискового пространства, заархивируйте текущую взломанную версию сайта в .tar.gz архив до каких-либо изменений.
    На основе собранной информации вы можете попробовать самостоятельно определить способ взлома. Например, по дате изменений файла .htaccess и анализу ftp лога можно понять, что взлом сайта произошел по ftp. Это значит, что у вас украли/перехватили/подобрали пароль от ftp. Если самостоятельно провести анализ и диагностику вы не можете, обратитесь к специалистам по лечению и защите сайтов.
  2. Проверьте все рабочие компьютеры, с которых выполнялось подключение к сайту, коммерческим антивирусом с обновляемыми базами. Это позволит определить наличие троянов или кейлоггеров на компьютере.
  3. Смените пароль от хостинга, от ftp и от административной панели сайта. Пароли должны быть сложными, содержать заглавные, маленькие буквы и цифры, а также быть длинными (не менее 7 символов).
  4. Если сайт перестал работать, восстановите его, используя резервную копию.

После того как работа сайта восстановлена важно выполнить ряд действий для защиты сайта от взлома:
  1. Выполните сканирование сайта на наличие хакерских скриптов бесплатными сканерами (AI-BOLIT, ClamAv, Maldet). Удалите найденные вредоносные скрипты. Кстати, часто антивирусы или сканеры вредоносного кода уже интегрированы в панели хостинга, вы можете воспользоваться готовыми решениями. Например, в панели ISPmanager Lite и Plesk есть Revisium Antivirus. Уточните этот момент у вашего хостера.
  2. Обновите версию CMS до последней доступной на сайте официального разработчика. Если выходили обновления и патчи для модулей и плагинов CMS, их также необходимо установить.
  3. Установите защиту на сайт:
    1. изолируйте сайты друг от друга: если на хостинге не поддерживается изоляция сайтов, разместите сайты на разных аккаунтах,
    2. установите плагины мониторинга сайта и контроля за изменениями файлов (контроль целостности),
    3. закройте доступ в админ-панель сайта дополнительным паролем или авторизацией по ip адресу,
    4. сделайте все системные файлы и папки, которые не изменяются, ”только для чтения”,
    5. отключите ненужные php функции в файле php.ini,
    6. запретите вызов php скриптов в папках загрузки файлов, кэш- и временных папках через .htaccess или в настройках nginx.
Данные меры сделают невозможной эксплуатацию уязвимостей скриптов и существенно повысят уровень безопасности вашего сайта.

Если самостоятельно выполнить данные действия вы затрудняетесь, обратитесь к специалистам по лечению и защите сайтов.

Важно отметить, что выполнение перечисленных действий не защитит сайт от взлома на 100%, так как всегда остается “человеческий фактор” в лице администраторов сайта, контент-менеджеров, seo-специалистов и веб-разрабочиков, которым для выполнения определенных работ предоставляется доступ к сайту или хостингу. Вам, как владельцу сайта, нужно грамотно организовать взаимодействие с этими специалистами, чтобы минимизировать риски взлома и заражения сайта:

  1. Разграничьте и ограничьте административный доступ к сайту.
    У каждого специалиста должен быть свой аккаунт с необходимым минимальным набором привилегий. Действия администраторов должны логироваться (записываться в журнал действий). То же касается и доступов по ftp/ssh к хостингу.
  2. Установите сложные пароли и регулярно меняйте их для администраторов сайта и хостинга.
  3. Используйте безопасное подключение к сайту (sftp вместо ftp).
  4. Все специалисты, которые работают с сайтом, должны гарантировать отсутствие вирусов на своих рабочих компьютерах и использовать антивирусные решения с регулярно обновляемыми базами при работе в сети.

Помните, что вопрос безопасности сайта требует постоянного внимания, а защита сайта не бывает удобной, так как приходится постоянно искать баланс между способами эффективной защиты сайта и удобством его администрирования. Но даже простое следование описанным выше рекомендациям значительно снижает риск взлома и заражения сайта.

Обсуждаем и комментируем

Что делать если взломали сайт

Если ваш сайт взломали, самое простое решение – обратиться к специалистам. Но если вы чувствуете в себе силы и у вас достаточно свободного времени можно восстановить работу сайта самостоятельно.
Ниже мы попытались максимально описать последовательность действий при взломе сайта.

Итак — “Путь настоящего ниндзя” или какие меры можно принять самостоятельно.

1. Сохраняйте спокойствие
2. Проверьте свой компьютер и компьютеры людей работающих с сайтом
3. Поменяйте пароли к сайту
4. Сделайте резервную копию
5. Свяжитесь с хостинговой компанией
6. “Простой вариант”
7. Проверка файлов на содержание вредоносного кода
8. Сделайте резервную копию
9. Обновляемся
10. Опять меняем пароли
11. Установите защиту вашего сайта
Некоторые рекомендации

1. Сохраняйте спокойствие.


Вам необходимо сохранять спокойствие, чтобы не наделать ошибок и исправить последствия взлома. Ваш сайт уже взломали. Смиритесь. Необходимо починить сайт и предотвратить взлом в дальнейшем.
Мы серьезно. Глубоко вздохните и приступайте к работе.

2. Проверьте свой компьютер и компьютеры людей работающих с сайтом.

Часто причиной взлома являются троянские программы на вашем компьютере ворующие пароли от FTP/WEB/SSH доступа от вашего сайта.
Установите антивирус на компьютер. Скачайте последние обновления и проведите ПОЛНУЮ проверку вашей системы.
Если у вас нет антивируса, можно воспользоваться любой бесплатной версией (к примеру, DrWeb CureIt).

3. Поменяйте пароли к сайту.


Необходимо поменять все пароли доступа к сайту. Хостинг, FTP, SSH, База данных – абсолютно все. Выбирайте сложные пароли. Избегайте паролей типа: 12345, qwery, 01011980. Лучше если ваши пароли будут содержать прописные, заглавные буквы и цифры.
Запишите их. Не давайте никому без необходимости.

4. Сделайте резервную копию.

Если база данных и файлы сайта все еще на месте, сохраните их. Они вам могут понадобится для: выяснения причин, поиска зараженных и поврежденных файлов или в случае неудачной попытки восстановить работу сайта.
Пометьте копию как “Копия взломанного сайта”.

5. Свяжитесь с хостинговой компанией.

Обычно хостинг компании сами делают резервные копии сайтов клиентов. Не стоит сильно надеяться, но в вашем случае все меры хороши. Попытка не пытка.
Спросите у них за какие даты у них есть копии вашего сайта и если у них есть датой МЕНЬШЕ даты взлома, попросите восстановить.
Если сайт восстановил работу, принимайте наши поздравления, вы отделались легким испугом. Но работа еще не закончена переходите сразу к пункту 8.

6. “Простой вариант”.

Если вы знаете какая версия CMS, плагинов, модулей и тем использовалась у вас на сайте можно сделать следующее:

  • Удалите все файлы из директории вашего сайта. Вы ведь сделали резервную копию?
  • Возьмите дистрибутив вашей CMS и запишите в директорию сайта. Скачать дистрибутив обязательно с официального сайта разработчиков.
  • Восстановите конфигурационные файлы из резервной копии.
    Для WordPress это файл wp-settings.php
    Для Joomla это файл configuration.php
    А так же файл .htaccess
  • Проверьте файл .htaccess на предмет взлома. Часто этот файл используют хакеры для перенаправления заходов с поисковых систем или мобильных устройств на другие сайты. Проверки “дописки” в начале и конце файла на наличие redirect’ов на неизвестные вам сайты.

Проверьте открывается ли сайт. Если открывается, примите поздравления. Теперь можно зайти в “админку” и установить недостающие плагины и модули необходимые для нормальной работы сайта. Но работа еще не закончена переходите сразу к пункту 8.

7. Проверка файлов на содержание вредоносного кода.

Теперь начинается основная часть работы. Вам предстоит найти и удалить весь вредоносный код.
Вы можете воспользоваться нашими услугами или сделать это самостоятельно, но это может занять ДЛИТЕЛЬНОЕ время.
Основная проблема в том, что для этой работы не подойдут обычнее антивирусы. Принцип их работы максимально обеспечить безопасность посетителя вашего сайта. Поэтому зараженный файл они просто “бьют” на этапе загрузки страницы.
Вам же необходимо найти “врезки” вредоносного кода. Аккуратно, как хирург, вырезать вставленный хакером код, сохранив при этом функциональность скриптов.
Быстрее проверить наличие кода в резервной копии, которую вы создали. А уже обнаружив поврежденные файлы исправить их непосредственно на хостинге.
Для поиска кода можно воспользоваться программой aibolit. Но она вам только подскажет подозрительные участки кода ничего сама не исправив. Решать вредоносный код или нормальный придется вам.
Если текст на этой картинке для вас непонятен, даже не пытайтесь сделать это сами.

Troj/JSRedir-LH

Заказать удаление вирусов с сайта и защиту от взлома вы можете у нас, заполнив форму заявки справа на этой странице.

8. Сделайте резервную копию.

Не надейтесь на хостинг. В нужный момент резервной копии может не оказаться.
Перед дальнейшей действиями необходимо сделать резервную копию файлов и базы данных.
Назовите копию “Рабочий сайт”.

9. Обновляемся.


Теперь когда ваш сайт восстановлен необходимо обновить все используемое программное обеспечение. Саму систему управления, темы, плагины, модули – все по максимуму.
Дело в том, что система управления сайтом это такое же программное обеспечение как и Windows на вашем компьютере.
Рано или поздно в программном обеспечении находят уязвимости, которые используются хакерами для распространения вирусов и подобной гадости.
Выполнить обновление можно через “админку” сайта предварительно прочитав инструкцию по установке на сайте производителя.
В случае неудачи у вас же есть резервная копия?
Запомните, что за обновлениями надо постоянно следить.

10. Опять меняем пароли.

Вам необходимо поменять пароли после того как ваш сайт очищен. Так что если вы поменяли пароли при обнаружении взлома, поменяйте еще раз.

11. Установите защиту вашего сайта.

Мы предлагаем установить защиту от взлома на Ваш сайт. Это не дорогая услуга позволит вам забыть о проблемах взломов и заниматься бизнесом.
Просто заполните заявку на сайте и мы с вами свяжемся.

Некоторые рекомендации:

  • Устанавливайте программное обеспечение для вашего сайта только с официальных сайтов.
  • Следите за обновлениями используемого программного обеспечения.
  • Не раздавайте пароли доступа к сайту без необходимости.

Как взламывают большинство сайтов. Примеры нецелевого взлома.

Мы неоднократно писали о том, что количество сайтов, подвергающихся обезличенным (нецелевым) атакам, в разы превышает количество жертв атак целевых. По нашей статистике, только каждый четвертый сайт злоумышленники взламывают целенаправленно, остальные сайты, поступающие к нам на лечение и защиту, — результат массового взлома и заражения.

Пострадать в результате нецелевой атаки довольно просто: для этого достаточно, не заметить или проигнорировать критическую уязвимость в CMS, шаблонах или плагинах своего сайта. Любая незакрытая брешь – отличный шанс очутиться среди себе подобных «товарищей по несчастью» и прочно закрепиться в хакерской выборке кандидатов для взлома. А в случае «успешной» атаки приготовьтесь к тому, что ваш сайт начнут активно использовать для спам-рассылки, заражения пользователей, хостинга фишинговых страниц, атак на другие сайты или заработка на рекламе. 

Найти сайты (их тысячи) со схожими слабыми параметрами для хакера не составляет большого труда. Информацию об уязвимых сайтах всегда можно пробить по Google Hacking Database (GHD) – базе данных «дорков» — поисковых запросов на мета-языке Google, позволяющих найти сайты, уязвимые к тем или иным атакам по определенным сходными свойствами. Например, хакеры могут найти все проиндексированные в поисковой системе сайты с установленным уязвимым плагином или сайты, которые раскрывают содержимое каталогов, т.е. позволяют просматривать и загружать из них файлы (с паролями, настройками и т.п.)

Если на вашем сайте есть слабое звено и веб-проект уязвим к определенному виду атак, то рано или поздно вас взломают. Это нужно понимать каждому веб-мастеру и владельцу сайта.

Последние, обычно, не верят, что найти и взломать уязвимый сайт можно буквально за пару минут, не имея под рукой никаких специализированных хакерских инструментов. Поэтому в качестве иллюстрации мы приведем простой пример, как, используя возможности Google, злоумышленники находят и взламывают веб-проекты, владельцы которых своевременно не позаботились об их защите или допустили ошибки при настройке хостинга.

В качестве примера рассмотрим “дорк”, который появился в базе Google Hacking Database от 1 сентября 2015 года. Он позволяет найти сайты с открытыми каталогами (в таких каталогах можно не только увидеть листинг служебных файлов, но и просмотреть их содержимое, например, найти пароли).

google hacking database

Отправляем этот запрос в поисковую систему Google и видим список сайтов с открытыми листингами каталогов — это потенциальные жертвы хакера. Выбираем среди найденных сайтов случайный, например, последний в списке.

поиск уязвимых сайтов

Кликаем по ссылке — открывается список каталогов, по ним можно «погулять» как в проводнике, и в результате серфинга можно заметить файл serverconfig.xml, который в открытом доступе хранит логины и пароли от базы данных. Учитывая то, что иногда учетные записи совпадают с FTP или SSH, таким образом хакер может получить несанкционированный доступ не только к базе данных, но и всему серверу.

скомпрометированный сайт

На весь вышеописанный процесс ушло порядка двух минут, у хакера же в «боевых условиях», использующего автоматизированные решения, это занимает еще меньше времени, а счет скомпрометированных ресурсов обычно идет на тысячи.

Обидно оказаться в числе тех, кто превратился в легкую добычу в руках хакера, хотя такой ситуации легко избежать. Думайте о защите своих веб-проектов заранее. Если ваш сайт будет чуть более защищен, чем среднестатистический (с CMS “из коробки” и настройками по-умолчанию), то проблема нецелевого взлома вас обойдет стороной. 

Обсуждаем и комментируем

Что делать, если взломали сайт? Быстрее действовать!

Давайте сегодня поговорим об одной очень важной теме – что делать, если ваш сайт взломали, как исправить ситуацию, восстановить утерянные данные и доступ, а также как избежать взломов интернет-ресурса в дальнейшем.

Наверняка каждый из вас сталкивался с такой ситуацией или хотя бы слышал о ней. В любом случае, эта проблема очень актуальна, поэтому, я считаю, что она будет интересна широкому кругу читателей блога.

Как и зачем взламывают сайты

Прежде всего, давайте разберемся, для чего вообще злоумышленники взламывают сайты. Чаще всего это делается из вредности: юные (или не очень) хакеры желают или испытать программы-взломщики, или свои собственные силы, или хотят, чтобы кому-то было плохо, или просто «от нечего делать». В любом случае, какой-то серьезной причины для взлома сайта у них нет.

Второй вариант – борьба с конкурентами. Интернет быстро развивается, и все хотят занять позиции в ТОПе поисковых систем, но число мест там сильно ограничено. Разумеется, для достижения цели нерадивые вебмастера идут даже на крайние меры, такие как взлом сайта их конкурента.

Третья причина хакерской деятельности — захват контроля над сайтом. Делается это чаще всего для того, чтобы изменить содержимое сайта на свое, например, заполнить его вирусными программами. Когда пользователи зайдут на взломанный ресурс, то на их компьютер «залезет» троянская программа, если ее не перехватит антивирусник. Так же, часто бывает что после получения доступа к сайту просто ставятся скрытые ссылки на внешние ресурсы которые визуально не видны, владельцы не сразу замечают что их сайт используют для передачи ссылочного веса.

Теперь обсудим, как взламываются сайты. Способов довольно много, но мы выберем самые популярные.

 

Самый просто способ сделать это используя специальную программку, которая перебирает различные комбинации паролей (генератор паролей), подобных софтов сейчас очень много. Через какое-то время нужная комбинация будет найдена, и злоумышленники получат доступ к сайту.

Если в вашем браузере или FTP-менеджере стоит функция запоминания пароля, то это делает вас уязвимыми, потому что часто помогает взломщику. Если вы используйте какую-либо CMS, то наличие уязвимости в движке сайта, сразу же обнаруживается хакерами при исследовании подобных движков.

Реже используют более изощренные методы. Самыми опасными взломами считаются те, при которых используются SQL-инъекции – мини-запросы, повышающие привилегии хакера, позволяя ему получать несанкционированный доступ к сайту.

Что делать? Первые действия при взломе сайта

Если ваш сайт взломали, то следует незамедлительно принять ряд мер.

Первым делом проверьте свой компьютер на наличие вирусов, особенно – троянских программ. Если ваш сайт взломали и поместили вместо основного содержимого вирусы, то наверняка вы стали их первой жертвой. Или же ваш компьютер был заражен раньше, а пароли, хранящиеся в вашем браузере, были похищены злоумышленниками (так они и получили доступ к вашему сайту).

Второе действие, которое нужно выполнить – свяжитесь с вашим хостингом и сообщите о взломе, возможно, тех. поддержка вам даст какие-то полезные сведения.

Если вы все еще можете войти в админ-панель сайта, то срочно меняйте пароль, если нет – восстановите доступ к сайту с помощью бек-апов (резервные копии файлов сайта). Вот почему так важно поддерживать резервное копирование ваших данных. Восстановив сайт из бек-апа, срочно меняйте пароль на более сильный.

Как избежать взломов в дальнейшем

Есть ряд мер, которые помогут вам избежать взломов сайта в дальнейшем.

  1. Используйте только сложные пароли к аккаунтам хостинга и админ-панели сайта, а не пароли вида «12321», «555» или «vasya».
  2. Периодически заменяйте старый пароль на новый.
  3. Своевременно обновляйте вашу CMS, плагины и другой софт в котором могут быть уязвимости.
  4. Старайтесь не сохранять пароль в браузерах, а постоянно набирайте его вручную при заходе на сайт. Также рекомендуется нигде на компьютере не писать и не хранить пароль.
  5. Не используйте одинаковые пароли для различных сервисов (почты, админ-панели, хостинга и т.д.)
  6. Не используйте бесплатные хостинги – взломать их не составляет труда.
  7. Установите на компьютер антивирусник и постоянно обновляйте его базы вирусов. Это поможет вам избежать заражения вирусными троянами, ворующими ключи и другие персональные данные.
  8. Никогда не сохраняйте ваши пароли на компьютерах друзей, родственников, ноутбуках папы, мамы, бабушки, старшей сестры, сводного брата, лучшего друга, «первой любви» и т.д.

Сейчас взломать рядовой сайт – раз плюнуть, поэтому старайтесь принять меры, которые усложнят жизнь хакерам. Если же ваш сайт все-таки взломали, обязательно примите меры по восстановлению доступа.

Данная статья обобщенная, в будущем мы расскажем о повышении безопасности на конкретном примере движка WordPress.

Хакер взломал сайт и вымогает деньги

Ежедневно взламывают десятки тысяч сайтов. Большая часть скомпрометированных сайтов используется хакерами как инструмент заработка. Паразитирование может иметь несколько форм:

  1. на сайте размещают специальный код, который показывает рекламу, вставляет ссылки на страницах или заражает компьютеры посетителей троянами и вирусами
  2. с хостинга рассылают спам
  3. с сайта воруют посетителей и перенаправляют на партнерские программы

Но есть еще одна популярная “черная” схема заработка, когда хакер взламывает сайт и вымогает деньги за закрытие уязвимостей. В большинстве случаев это маскируется под добродетель, предложение помощи за скромное вознаграждение. Выглядит это так:

  1. Хакер находит уязвимый сайт (используя тематические каталоги, дорки или сайт взламывается “по наводке”)
  2. Загружает на него веб-шелл или бэкдор, с помощью которого получает контроль над сайтом и аккаунтом хостинга
  3. Связывается с владельцем сайта через соцсеть, по скайпу или email, сообщая о том, что он обнаружил опасную уязвимость на сайте и готов помочь ее закрыть за вознаграждение
    хакер шантажирует владельца сайта
  4. С помощью демонстрации возможных последствий или запугивания, хакер вынуждает владельца согласиться сотрудничать. А в случае отказа уничтожает сайт, выкладывает его копию в публичный доступ или начинает незаметно зарабатывать на нем, используя перечисленные выше варианты
    хакер шантажирует владельца сайта

Опасность данной ситуации в том, что у хакера есть полный доступ не только к файлам и базе данных сайта, но часто к резервным копиями и логам, которые он может уничтожить. В итоге можно полностью потерять сайт без возможности восстановления. Поэтому крайне важно выработать грамотный алгоритм действий, который в случае взлома сайта и шантажа со стороны хакера позволит сохранить сайт и повысит шансы найти злоумышленника.
хакер шантажирует владельца сайта

Если ваш сайт взломали и вас шантажируют, нужно сделать следующее:

  1. Согласиться сотрудничать с хакером, после чего оперативно связаться со специалистами по информационной безопасности. В обращении подробно опишите ситуацию и перешлите переписку с хакером.
  2. Найдите предлог для того чтобы выиграть время:
    1. попросите хакера привести доказательства намерений помочь, запросите детали уязвимостей, которые хакер обещает закрыть,
    2. спросите, как вы сможете убедиться в том, что работа выполнена,
    3. запросите платежную информацию (номера электронных кошельков), на которые перевести деньги,
    4. сообщите, что сейчас у вас в данный момент нет возможности оплатить и вы сделаете это в течение суток,
    5. зафиксируйте изменения на сайте и время, когда они были сделаны.

Нужно собрать как можно больше информации о вымогателе и проделанной им работе,  чтобы передать ее специалистам.

  1. Если вы — опытный веб-мастер, незамедлительно сделайте полную резервную копию сайта, базы данных и настроек хостинга, выгрузите их себе локально на компьютер, после чего заблокируйте доступ ко всему аккаунту хостинга или отключите сервер до начала работы специалистов по информационной безопасности. Это позволит сохранить сайт, настройки хостинга и хакерские “следы”.

    Как правильно отключить сайт на виртуальном хостинге:

    1. Разместите в корневом каталоге сайта файл .htaccess со строками
      Order Deny,Allow
      Deny from All

      или впишите их в начале файла, если файл уже есть. Если на аккаунте хостинга несколько сайтов, заблокировать нужно все, так как хакер может получить доступ и к соседним сайтам на аккаунте.
    2. Отключите FTP/SSH доступ к хостингу или хотя бы смените пароли от всех аккаунтов
    3. Смените пароли от хостинг-панели и не заходите в нее до окончания работы специалистов

      + Запросите в тех поддержке хостинга логи веб-сервера, FTP/SSH и логи панели управления хостингом за максимально доступный период

    Что касается хостинга на выделенном сервере, то здесь нужно блокировать не сайт, а сервер: отключить сервер полностью и предоставить доступ к VDS панели специалистам, которые проведут анализ и грамотно заблокируют все сервисы и компоненты (панель менеджера, службы и веб-сервер).

Что не нужно делать при взломе сайта и шантаже:

  1. Бежать в милицию и писать заявление – скорее всего вы потеряете свой сайт и точно не найдете хакера, так как информации о нем будет не достаточно для проведения расследования
  2. Жаловаться или просить помощи на форумах – вам скорее всего посоветуют пойти в милицию, что в данной ситуации абсолютно бесполезно (см. п. 1)
  3. Оплачивать работу хакера (об этом подробно написано ниже)
  4. Пытаться справиться самостоятельно – помните, у хакера уже есть полный контроль над сайтом, всем аккаунтом хостинга или даже сервером на момент обращения к вам, поэтому любые попытки ему помешать обернутся уничтожением данных.

Итак, еще раз: сразу же обращайтесь к специалистам по информационной безопасности.

Почему не нужно оплачивать работу злоумышленника, взломавшего ваш сайт:

  1. Цель хакера – заработать деньги. После получения оплаты хакеру нет смысла продолжать работать с вашим сайтом, если только не для дополнительного заработка за счет размещения недобросовестной рекламы, ссылок, вирусов или редиректов.
  2. Если хакер простит оплату не сразу, а только по факту выполненной работы, доверять ему все равно нельзя. Вы не сможете определить, действительно ли он закрыл уязвимости или просто потянул время, создавая видимость. Через некоторое время может обнаружится, что хакер все-таки использует ваш сайт для собственной выгоды.
  3. В большинстве случаев в подобных мошеннических схемах участвуют молодые люди (школьники, студенты), которые физически не смогут грамотно закрыть уязвимости на сайте, так как не являются специалистами в области информационной безопасности. “Ломать – не строить”: взломать сайт легко, грамотно защитить его от взлома значительно сложнее.

Как найти и наказать хакера

Каждый владелец сайта, попавший в подобную ситуацию, желает наказать хакера по всей строгости закона. Хакеры это знают, поэтому стараются как можно тщательнее скрыть реальную информацию о себе: используют поддельные IP (работают через прокси и VPN), создают временные или используют взломанные аккаунты соцсетей, email и электронные кошельки. Поэтому опытных хакеров поймать и наказать практически невозможно. Неопытные могут допускать ошибки и дают шанс их “развиртуализировать”.

Мы сотрудничаем с компаниями, которые специализируются на расследовании киберпреступлений, поэтому кроме защиты сайта от взлома помогаем в поиске злоумышленников. Чем более детальную информацию о хакере удастся собрать, тем больше шансов провести эффективное расследование киберпреступления.

Если ваш сайт взломали или хакеры вас шантажируют, напишите нам.

Обсуждаем и комментируем

Взломали сайт и вымогают деньги

К сожалению, взлом сайта с целью шантажа его владельца – частая ситуация в современном интернете. Хакеры атакуют сайты не только для рассылки спама, воровства трафика, распространения вредоносного программного обеспечения или размещения фишинговых страниц.

взлом сайта и шантаж

Компрометация веб-ресурса с целью быстрой наживы – актуальная проблема сегодняшних дней, когда экономическая обстановка в стране нестабильна, вокруг говорят про кризис, а желающих подзаработать нечестным способом в интернете становится только больше.

Если хакеры взломали сайт исключительно ради получения за него выкупа, на связь с владельцем сайта они выйдут сами. Обычно первое сообщение от злоумышленника может выглядеть так: “мы нашли на вашем сайте уязвимости и готовы закрыть их за определенное вознаграждение”. После чего они обязательно продемонстрируют свою «власть» над интернет-ресурсом, чтобы доказать владельцу, что действительно имеют доступ к сайту. Для примера могут поменять текст, вставить картинку на странице или выполнить любое другое действие на сайте, о котором может попросить владелец.

Если жертва отказывается идти на компромисс, злоумышленники грозятся полным уничтожением сайта, «сливом» рипа сайта на хакерских форумах и другими деструктивными действиями. В этой ситуации ни в коем случае не стоит соглашаться на сделку. Маловероятно, что даже если хакер получит деньги, он сможет профессионально закрыть уязвимости на сайте или не оставит «в подарок» бэкдор, чтобы через какое-то время начать эксплуатировать сайт в своих корыстных целях.

Ниже приводим советы специалистов по информационной безопасности в ситуациях, когда злоумышленники взломали сайт и вымогают у его владельца деньги:

  1. Старайтесь выиграть время, ведите переговоры с хакерами, просите доказать, что они действительно имеют доступ к вашему сайту, задавайте вопросы про уязвимости, которые они нашли, торгуйтесь – пишите, что вам нужно какое-то время, чтобы зачислить деньги на электронный кошелек и т.п.
  2. Сразу же свяжитесь со специалистами по информационной безопасности, обрисуйте ситуацию и попросите максимально оперативно помочь.
  3. Сделайте бэкап сайта – файлов и базы данных (если этого еще не сделали) и сохраните копию локально на компьютере.
  4. Заблокируйте доступ к аккаунту хостинга до момента, когда специалисты по безопасности приступят к работе.

Вполне понятно, что владелец сайта хочет найти и наказать злоумышленников, которые взломали сайт. К сожалению, это не всегда возможно. Хакеры работают через безопасное подключение (VPN), атакуют сайты с зарубежных серверов, создают временные аккауны в соцсетях или используют взломанные, тоже самое касается email и электронных кошельков. В случае, если хакер умеет “заметать следы” и работает аккуратно, раскрыть личность последнего довольно сложно, особенно есть речь идет о взломе небольшого сайта или незначительном ущербе (этим, увы, и пользуются злоумышленники). Тем не менее, не стоит игнорировать инцидент. Главное, постараться собрать как можно больше информации (email адреса, номера электронных кошельков, IP адреса хакера, аккаунты соцсетей и т.п.), чтобы было с чем обращаться в правоохранительные органы или компании, специализирующиеся на расследовании киберпреступлений.

И помните, что инцидента можно избежать, если позаботиться о защите своего сайта заранее. Обратитесь к специалистам, они подскажут, как это сделать грамотно и эффективно.

Обсуждаем и комментируем

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *