Поширені помилки веб-майстрів при боротьбі зі зломом і зараженням сайтів

1. Попереджений, але не озброєний
2. Некоректна робота зі сканером шкідливого коду
3. Обман пошукових систем
4. Лікування сайту за допомогою антивірусу для комп'ютера
5. Відновлення сайту з резервної копії замість лікування
6. Видалення шкідливого коду без закриття вразливостей і установки на сайт захисту
7. практичні рекомендації
8. Небезпечне розміщення сайтів на хостингу
9. На закінчення

Автор: Григорій Земсков, керівник компанії « Ревізіум - лікування і захист сайтів »

Щодня ми отримуємо велику кількість листів від початківців веб-майстрів, які просять дати рекомендації щодо лікування сайтів від вірусів і захисту від злому. Передісторія приблизно у всіх однакова: протягом якогось часу сайт функціонував стабільно, радував відвідувачів своїм контентом, допомагав продавати і генерувати дохід. Але в один прекрасний день все пішло не так: користувачі стали скаржитися на недобросовісну рекламу, сторінки сайту стали випадати з пошукового індексу, а хостер надіслав повідомлення, що сайт поширює шкідливе ПЗ / спам / фішинг.

До моменту звернення в нашу компанію веб-майстер, як правило, вже намагався впоратися з проблемою самостійно: він відкотив сайт до незараженной, на його думку, версії; оновив CMS; поміняв всі паролі і навіть спробував видалити шкідливий код. Але сайт чомусь заражався знову і знову.

В ході бесіди з веб-фахівцями з'ясовувалися окремі нюанси, але так чи інакше помилки, що відбуваються новачками, були типові. У даній статті ми розповімо про основні з них. Обмовимося відразу, ми не проводили спеціальних досліджень і опитувань, а всього лише систематизували інформацію, отриману нами в результаті багаторічного практичного досвіду по лікуванню і захисту сайтів.

Умовно всі помилки веб-майстрів можна розділити на три великі групи: до початку лікування, під час лікування і після нього. Що ж, почнемо по порядку.

Попереджений, але не озброєний

Сайт, над яким попрацював хакер, якийсь час може себе ніяк не видавати. Часто веб-ресурси заражаються в кілька етапів. На першому етапі хакер знаходить вразливість на сайті і непомітно завантажує на нього шелл. Він навіть може акуратно «заштопати» після себе пролом, щоб не віддавати шматок пирога колегам по цеху. Якщо регулярно не перевіряти сайт сканером шкідливого коду, наприклад AI-BOLIT , Який визначає хакерські шелли і бекдори, то можна упустити можливість своєчасної безболісної ліквідації непроханого гостя на сайті.

Через пару тижнів хакер звернутися до веб-ресурсу знову, але вже з метою завантажити віруси, впровадити редирект або розмістити спам-розсильників. З того моменту як на сайті почнуть заробляти до моменту, коли ви це виявите, може пройти досить багато часу - все залежить від масштабу лиха. За розсилку спаму або розміщення фішингових сторінок хостер може заблокувати відразу, пошуковики можуть також оперативно відреагувати на вірусний код на сторінках або дорвеи. Але іноді зараження проявляється в уповільненої, не настільки помітною формі. Начебто періодично скаржаться відвідувачі, іноді виникає повідомлення в панелі веб-майстра про те, що на сайті вірус. Але вже на наступний день користувачі спокійно продовжують здійснювати покупки в вашому інтернет-магазині, а пошуковики мовчать. В результаті веб-майстер «розслабляється» - приємніше думати, що у поскаржився користувача заражений браузер, а пошукова система просто помилилася.

На жаль, в реальності все не так просто. Як вже говорилося, існують різні види зараження. Вірус може бути активним в певні дні, певні години, для користувачів певних пристроїв і регіонів. І якщо пошуковий бот перевіряє ваш сайт в момент, коли зловредів неактивний, то повідомлення з панелі веб-майстра зникне.

Тому не ігноруйте будь-попередження, що стосується безпеки веб-проекту. Навіть якщо вас не заблокує хостер або пошукова система, є й інші, більш серйозні наслідки - адже доступ до вашого сайту є у кого-то ще крім вас. І це може бути доступ не тільки до файлів і бази даних, але і до резервних копій. А значить є ризик втратити сайт без можливості його відновлення.

У нашій практиці були випадки, коли подібне ігнорування ситуації закінчувалося шантажем з боку зловмисника - хакер, який отримав адміністративний доступ до веб-ресурсу, вимагав гроші, погрожуючи знищити веб-проект повністю, і наша команда підключалися вже в «пожежному» режимі для термінового вирішення проблеми .

Є підозра на шкідливу активність - не полінуйтеся перевірити сайт на предмет злому і зараження.

Некоректна робота зі сканером шкідливого коду

Сканери шкідливого коду на сайті дозволяють швидко діагностувати проблему - знаходити деструктивні елементи, що підлягають обов'язковому видаленню. Але одні й ті ж фрагменти зустрічаються як в легітимних скриптах, так і шкідливих, і головне завдання веб-майстри полягає в тому, щоб визначити, до якої категорії відноситься виділений фрагмент коду. Власне, недостатня компетентність в даному питанні може призвести до кількох розв'язок - ви видаляєте фрагмент на удачу і рятуєтеся від проблеми; ви не наважуєтеся видалити виділені фрагменти, і зараження відбувається повторно; ви видаляєте всі підозрілі елементи, але перестає працювати сайт.

Рада тут може бути тільки один, якщо відчуваєте, що поки не готові вирішити проблему самостійно - зверніться до фахівців, замовте послугу на комерційній основі, а потім проконсультуйтеся у виконавця щодо ваших підозр.

Крім того, розробники інструментів для пошуку вірусів на сайті, як правило, можуть проконсультувати вас щодо звіту безкоштовно (до певного рівня). Не ризикуйте, збираєте знання, отримуйте нові - це допоможе справлятися з проблемою в майбутньому самостійно.

Обман пошукових систем

Так чи інакше успішність веб-проекту багато в чому залежить від його взаємовідносин з пошуковими системами. І, напевно, одне з найбільш непотрібних занять намагатися їх обдурити.

Припустимо, сайт виявився у списку «загрожують безпеці комп'ютера або мобільного пристрою ...». В панелі веб-майстра позначаться сторінки, на яких був виявлений шкідливий код. Але замість того, щоб шукати джерело зараження деякі фахівці видаляють заражені сторінки, що зовсім не вирішує проблеми безпеки. Гірше того, іноді веб-майстри цілком блокують доступ до сайту за допомогою правил в robots.txt, вважаючи, що це допоможе уникнути перевірки сайту антивірусний ботом.

Заборона індексації - небезпечний крок. По-перше, це може привести до випадання сторінок сайту з пошукового індексу, а, по-друге, правила, які поширюються на пошукові механізми, не працюють для роботів антивірусних сервісів.

Та й знову ж, не можна залишати без уваги той факт, що сайт вже експлуатується зловмисниками - адже поки ви витрачаєте час на обман Яндекса і Google, ваш веб-проект знаходиться під серйозною загрозою.

Лікування сайту за допомогою антивірусу для комп'ютера

Початківці веб-майстри часто намагаються лікувати сайти, використовуючи антивірусники для десктопів. Веб-майстер робить бекап сайту і «нацьковує» на нього антивірусне програмне забезпечення, призначене для комп'ютера. Такий підхід не дасть бажаних результатів, оскільки віруси, написані для сайтів, відрізняються від вірусів, що заражають комп'ютери користувачів, і антивірус для робочого столу не зможе знайти більшість вірусів у файлах і базі даних сайту.

Для перевірки сайту необхідно використовувати спеціалізовані сканери вредонсоного коду, база даних яких регулярно поповнюється новими екземплярами шкідливих елементів.

Відновлення сайту з резервної копії замість лікування

Нерідко при появі вірусу на сайті веб-майстра намагаються розв'язати цю проблему простим відкатом сайту до незараженной версії. І продовжують робити це кожен раз, як тільки відбувається нове зараження. Розберемося. А що вважається чистою версією сайту? Адже, як ми вже знаємо, хакерський шелл може перебувати на сайті досить довго і ніяк себе на проявляти. Тобто точкою повернення стає зламаний сайт тільки без редиректу або спам-розсильників, але вже з шеллом?

Припустимо, що відновити чистий сайт з резервної копії вдалося. Але питання безпеки залишається відкритим: якщо на ваш сайт несанкціоновано проникли один раз і ви нічого не зробили для запобігання цій ситуації, то буде і другий раз, і третій.

Відкат сайту - досить незручний, непрактичний і вже точно небезпечний варіант. Будь-яке повернення назад означає позбавлення всіх ваших праць за останні дні - відмова від змін, які ви внесли в скрипти, недавно встановлених плагінів, нових текстів і фотографій. Зате ви зберігаєте можливість несанкціонованого проникнення. Сумнівна тактика боротьби з вірусами.

Видалення шкідливого коду без закриття вразливостей і установки на сайт захисту

Є особлива категорія веб-майстрів, досить терплячих, наполегливих і працьовитих. Вони вже знають, який саме шкідливий код і куди буде підсаджений. І свій день починають з того, що перевіряють одні і ті ж папки і видаляють з них один і той же код. Парадоксально, але іноді це триває місяцями. Зрештою несправедлива гра набридає, і до нас приходять з проханням про допомогу.

Справа навіть не в тому, що веб-майстер недоцільно витрачає свій час, «вичерпуючи воду з дірявий човен» (як правило, власник сайту видаляє код вручну, тоді як хакер підсаджує шкідливий в автоматичному режимі) - сайт знаходиться під загрозою, він маріонетка в руках хакера.

Головне завдання в ситуації, що склалася - не просто позбутися від вірусу на сайті, але вжити необхідних заходів по ліквідації вразливостей в плагінах і скриптах. У 80 випадках з 100 повторне зараження відбувається в результаті експлуатації хакером все тих же проломів.

практичні рекомендації

закриття вразливостей

Найбільш популярні типи уразливості / атак, що приводять до злому сайту, можна розділити на наступні типи (повна класифікація вразливостей доступна на сайті OWASP TOP 10 ):

• RCE (Remote Code Exection) - віддалене виконання шкідливого коду;
• AFU (Arbitrary File Upload), які дозволяють завантажувати файли на хостинг, ці файли можуть бути виконуваними скриптами;
• SQL-ін'єкції, за допомогою яких виконуються маніпуляції з базою даних (додавання нового адміністратора сайту, витяг паролів, вставка вірусів, "злив" бази тощо);
• XSS (Cross Site Scripting) - атака, в результаті якої код впроваджується на сторінку сайту, і зловмисник отримує несанкціонований доступ до даних: «куки», сесійним ключам, значенням полів і т. П

Як захиститися:

• Віддалене виконання коду виправляється в вихідному коді скриптів (установкою патчів безпеки, виправлення помилок розробника). Частково проблему можна виправити, використовуючи віртуальний патчінга засобами WAF (Web Application Firewall), який блокуватиме запити, що містять виконуваний код або шкідливі фрагменти.

• Проблем з AFU можна уникнути шляхом заборони виконання PHP-скриптів в каталогах завантаження. Для цього розміщується спеціальний конфігураційний файл .htaccess, який буде блокувати доступ до файлів, крім довірених, або відключає обробку PHP-сценаріїв.

• Питання з SQL-ін'єкціями вирішується за допомогою віртуального або реального патчінга вихідного коду (виправлення помилок розробника, який недостатньо добре фільтрує вхідні дані скрипта). Для віртуального патчінга також підійде WAF, який відфільтрує запити з SQL ін'єкціями.

• Для захисту від XSS необхідно прописати набір правил в .htaccess файлі або налаштувати веб-сервер, щоб в HTTP заголовках містилися спеціальні параметри, які блокують можливість проведення атаки.

Небезпечне розміщення сайтів на хостингу

Більшість початківців веб-майстрів ігнорують той факт, що якщо на акаунті хостингу знаходиться кілька сайтів, і при цьому зламаний і заражений тільки один, то інші можна залишити без уваги. Це велика помилка.

Якщо скарги з боку користувачів, хостера або пошукових систем надходять на один з ваших сайтів, обов'язково перевірте сусідні. Можливо, зламаний весь аккаунт, і хакерські шелли вже завантажені на інші сайти. Проскануйте сайти сканером шкідливого коду і виконайте необхідні дії щодо усунення вразливостей і зміцненню захисту сайтів. В іншому випадку неперевірені і незахищені сайти будуть загрожувати безпеці вже вилікуваних всередині аккаунта.

Надаючи послуги з лікування та захисту сайтів, ми часто стаємо свідками того, що на мультісайтового акаунтах деяких веб-майстрів панує повний безлад: веб-майстер уже й сам не пам'ятає, які сайти у нього робочі, а які давно лежать мертвим вантажем, займаючи місце на хостингу і ... служать "притулком" для хакерських Шелл і бекдор. Якщо забутий вами сайт все ще відкривається в браузері і ранжируется в пошуковій видачі, то він може стати об'єктом хакерської атаки, а через нього можуть зламати інші сайти.

Чи не використовуєте сайт в роботі, немає часу на його перевірку і захист? Заблокуйте або видаліть його з хостингу. Можливо, це позбавить вас від великих проблем з безпекою в майбутньому.

На закінчення

Ну, і останнє, не забувайте про елементарні правила безпеки при роботі з сайтами. Вони прості і зрозумілі, але, на жаль, часто ігноруються початківцями веб-майстрами:

1. Регулярно перевіряйте комп'ютери, з яких виконуєте адміністрування сайту, комерційними антивірусами;
2. Не забувайте міняти паролі від хостингу і адміністративної панелі сайту, використовуйте складні комбінації;
3. Не зберігайте паролі в програмах (ftp-клієнтів, браузері, електронною поштою);
4. Зберігайте резервні копії сайту не тільки на хостингу, а й локального на комп'ютері;
5. Працюйте в відкритих мережах через захищене з'єднання (VPN);
6. Відмовтеся від небезпечного FTP - переходите на безпечні SFTP і SCP протоколи.

Завжди пам'ятайте, краще захистити сайт превентивно, не чекаючи, коли слабка ланка на вашому сайті знайде хакер.