Что делать, если ваш сайт взломали

Пока твой сайт не взломали, не думаешь об этом. Но, когда в один НЕпрекрасный день на сайте заведется зловред, начинаешь хвататься за голову, и бешено искать что делать и как лечить свой ресурс. Наверное, любому владельцу сайта рано или поздно придется столкнуться с подобной проблемой. Мои сайты ломали не однократно. Это не потому, что я такой особенный, просто некогда я владел веб студией, и у меня на обслуживании было огромное количество сайтов.  Поэтому, слово «мои» следует понимать, скорее, иносказательно. Сейчас у меня всего три сайта моих старых клиентов (которые я обслуживаю уже самолично), поэтому и с проблемой взлома я давно не сталкивался (уменьшилось количество сайтов – уменьшился процент взлома). Не сталкивался, пока на днях не взломали один из этих ресурсов, превратив его в дорвей. Причем взломали так аккуратно и, вместе с тем, жестко, что несколько дней к ряду, совместно с хостером  мы лечили пациента (и, вроде как, у нас это получилось, но все же я решил полностью его заменить и создать новый ресурс, давно это нужно было сделать, но как-то руки не доходили). И, как вы понимаете, именно этот инцидент подтолкнул меня на написание сегодняшнего поста. В статье я расскажу, как обнаружить, что ваш сайт взломан (покажу какими программами пользоваться). Расскажу, как лечить сайт, и как защитить от атак и вирусов. И на десерт поговорим о том, почему взламывают сайты.

Вначале давайте подумаем о том, как узнать, что сайт взломали?

На самом деле, вы можете жить и не знать, что ваш сайт взломан, он будет функционировать и не показывать никаких признаков зараженности. Поэтому, к любому сайту необходимо:

  1. Подключить инструменты Вебмастера от Гугл и Яндекса
  2. Периодически сканировать сайт на наличие вирусов
  3. Самостоятельно проверять кто, когда и зачем входил на хостинг или подключался по ftp

То есть, это минимум что вы должны делать. А теперь подробно о каждом из пунктов.

Подключить инструменты вебмастера. Для чего это нужно? Гугля и Яндекс постоянно мониторят сайты в своей выдаче и где установлен их код (сейчас не будем говорить почему, но это в их же интересах). Поэтому, как только на вашем сайте появится зловред, вам на почту (если подключено извещение) и в инструментах вебмастера придет сообщение о подозрительных файлах или действиях. Причем зловредом может быть не обязательно программа, это вполне может быть строчка в существующем файле или обычный стиль, вообще вариантов много.

Для тех, кто не в курсе, где подключаются сии инструменты, вот ссылка на Гугл, а вот на Яндекс.

Периодически сканировать сайт на наличие вирусов. Делать это надо несколькими способами. Как говорит народная мудрость «Доверяй, но проверяй». Если у вас на хостинге есть антивирус, то сканируйте им. А если нет, то бегите от такого хостера, к примеру, сюда – handyhost.ru. Плюс к этому, есть замечательные онлайн сервисы проверки сайта на вирусы. Стандартные утилиты – 2ip.ru, virustotal.com. Но, они, скорее всего, пропустят процентов 70 (особенно первый). Хотя, многие хвалят virustotal, но на моей практике он многое пропускал. Поэтому для сканирования вирусов и зловредов на сайте используйте специализированные утилиты. Это https://rescan.pro, https://virusdie.ru, http://www.clamav.net, https://sitecheck.sucuri.net . Правда, половина из них на английском, но даже если вы его не знаете, там все интуитивно понятно. Вот примет отчета в системе Рескан:

отчет в системе рескан

Можете так же скачать себе на локальный компьютер утилиту Ai Bolit , выгрузить сайт себе на домашнее железо и с помощью нее проверить свой ресурс.  Так же, если вы выгрузите сайт на локальный компьютер, то можете просканировать его при помощи стандартных антивирусов (именно вирусы они, может, и найдут, а вот с измененным кодом уже не справятся).

Самостоятельно проверять кто, когда и зачем входил на хостинг или подключался по ftp. У вас на хостинге есть возможность просмотра ip’шников, с которых заходили на сам хостинг или подключались по ftp. На разных платформах они в разных местах, вообщем, ищите, они обязательно должны где-то быть (ниже я покажу где их искать в панели ISPManager) . Проверяйте хотя бы с периодичностью ваших бекапов все ip адреса. Внимательно следите, чтобы не было лишних подключений. Понимаю, на это нужно время, но лучше предупредить болезнь, чем лечить ее. Если обнаружили чужие заходы, смотрите на дату и время. После чего по этим цифрам ориентируйтесь какие файлы были изменены или добавлены.

Выполняя хотя бы эти несложные рекомендации, можно вовремя заметить, что сайт взломали и начать его лечить. А вот теперь самое главное – что делать, если на сайте обнаружен вирус или зловред.

Ваш сайт взломали, что делать

Биться головой о стену уже поздно, так что пойдите, заварите чашку кофе и пять минут отдохните, потому что лечить сайт, скорее всего, вы будете долго и нудно (так что нервы и бодрое состояние вам понадобиться).

Как лечить свой сайт

И так, попробуем вылечить свой сайт бесплатно. Самое простое, это откатить ресурс назад, до даты заражения. Не факт что поможет во всех случаях, но в каких-то обязательно. Именно поэтому я и советую проверять свой сайт с периодичностью бекапов.

Второе, проверьте заходы на хостинг. Нашли чужие ай пи – посмотрите время. Теперь, ищем все файлы, которые были изменены в этом промежуток времени. Покажу на скриншотах, где чего смотреть в панели ISPManager. Даже, если у вас другая панель, принцип все равно тот же.

Вот здесь смотрим ip’шники.

ищем чужие айпишники в панеле ispmanager

Находим чужой вход и запоминаем его дату и время.

(я первые цифры ip’шников закрыл, потому что это ip’шники моих друзей и мои, но принцип, я думаю вам будет все же понятен)

И уже на хостинге смотрим файлы и сравниваем по интересующей нас дате.

После того, как мы нашли все файлы, которые потенциально были подвергнуты нападению, открываем их, и ищем ненужные строчки. К сожалению, чего именно искать сказать не могу. Сами понимаете, вирусов много, так что вариантов строчек столько же. Поэтому, сравнивайте с оригинальной версией, которую заблаговременно нужно подготовить на локальном компьютере. Кстати, скорее всего у вас появятся новые файлы или даже целые папки, причем они могут быть с теми же префиксами, что и основные. К примеру, в WordPress’е может появиться файл wp-sawandwon (это я так, из головы взял, что бы смысл был понятен).

Еще один способ лечить сайт от вирусов – это скачать ресурс на локальный компьютер, после чего просканировать его антивирусами. Как помните, я писал выше, стандартные антивирусы помогут, но не совсем. Поэтому, загоняем свой скаченный сайт в утилиту Aй болит, и начинаем сканировать. На выходе получаем вот такой отчет:

отчет айболит

отчет проверки сайта айболитом

По нему начинаем искать зловредов. Если считаете, что все удалили, то сканируйте вновь. Если Ай болит больше ничего не найдет, то удаляйте свой старый (зараженный) сайт и заливайте чистый. Если найдет, и вы не знаете где еще искать, то переходим к условно платным процедурам.

Есть такой замечательный ресурс, как Вирусдай. Он платный, но обладает одной замечательной штукой – первый день его использования бесплатный. Т.е. вы можете занести в систему свой сайт и просканировать его при помощи этой утилиты. Найденные зловреды будут тут же удалены.

удаление вируса утилитой вирусдай

Еще одной замечательной фишкой является то, что сервис предоставляет возможность установки фаервола, антивируса и постоянной проверки сайта. Все эти возможности так же бесплатны один день. Если и это вам не помогло, то переходим к платным инструментам.

Здесь уже стоит рассчитывать на свой кошелек. Денег много, можете купить услуги у компаний специализирующихся на защите сайтов. Одна из них Ревизиум. Та самая Ревизиум, что создала Ай болита, речь о котором шла выше. Если денег не очень много, то можете обратиться к фрилансерам. Но здесь нужно быть предельно аккуратным. Ведь, человека вы не знаете. Поэтому фрилансеров лучше всего искать на специализирующихся форумах и внимательно просматривать отзывы о работе и внутренние знаки отличия (карма, бизнес-оценки и пр).

Как защитить сайт от атак и вирусов

Защитить сайт от атак, можно лишь соблюдая технику безопасности.

  • Первое, на вашем хостинге должны быть установлены антивирусы и фаерволы.
  • Второе, периодически обновляйте свою CMS.
  • Третье, не пренебрегайте платными инструментами защиты, такими как Вирусдай или другими (конечно, если у вас ресурс о котиках, то не думаю нужным устанавливать подобные утилиты; даже если сайт и взломают, новый создать будет дешевле)
  • Четвертое, если вы даете временный доступ кому-либо в свою админку или на хостинг, то после того, как человек не нуждается в ней, меняйте пароль.
  • Из этой же оперы, доверяйте пароли только проверенным людям. Не давайте их всем сотрудникам фирмы.
  • Выходите в админку и на хостинг только с компьютеров, на которых установлен антивирус.
  • Банально, но используйте сложные пароли для доступа в админку.
  • Если позволяют ваши технические возможности, то установите входы в админку по ip.
  • Так же, если есть возможность установить двойную идентификацию, то не пренебрегайте и ей.

Почему взламывают сайты

Немного о морали

Ну, и обещанный десерт. Но, вначале дам волю гневу на русских хакеров – пид@р@сы! Только страну и нацию позорят! Нет, я не про всех подряд, а про тех, кто покушается на детей, инвалидов, стариков, да и вообще на всех честных людей. Я хоть, отчасти, за пиратство в интернете и хакерство, но все же грани разумного знать надо. Что произошло у меня, в чем причина моего сегодняшнего поста — взломали сайт, который принадлежит инвалидной организации. Причем не просто инвалидной, а занимающейся детьми инвалидами. И тут находится негодяй, у кого поднялась рука на такой ресурс. Правда, в такие моменты мне становится очень обидно за наших людей. Если у кого-то вопрос, почему я считаю, что это сделали русские хакеры, то ответ прост – по нашему запросу и запросу хостера, совместно с определенными структурами мы отыскали ip адрес злоумышленника. Говорить много не буду, но скажу, что человек здравствует в Калуге (очень надеюсь, что в ближайшем времени поменяет свое место проживание на более суровый климат, где-нибудь на Колыме).

Я хочу вам показать фотографии детей, по сути, на которых и была совершена атака. Фотографии размещены с разрешения их правообладателей, но не в этом суть. Я их хочу вам показать для того, что, быть может, эту статью сейчас читает тот, кто когда-нибудь захочет встать на скользкую дорожку взлома сайтов. Но, вспомнив глаза детей, решит отказаться от этого. И если я сумею повлиять хоть на одного человека, то значит, эти слова я пишу не зря.

Не знаю как вы, но когда я впервые увидел этих детей, я – взрослый мужик, реально не смог сдержать слез. Ладно, хватит. Теперь по теме.

Так почему же взламывают сайты

Для каких целей ломают сайты? Причин может быть множество. Порой, даже самых банальных – проверь зловред или ради интереса. Я тут ради примера сделал запрос в Вордстат, сколько раз за месяц забивали в поиск «Как взломать сайт». 9409! И это только в Яндексе. Можете сами проверить. Примерно столько же в Гугле. Это представьте, сколько доморощенных школьников, услышав, что Хакер – это звучит гордо, ежедневно предпринимают попытки взломать чей-то ресурс.  Хорошо, что число удачных попыток у такого контингента приближенно к нулю. Зато не к нулю приближенны значения у людей, занимающихся взломами целенаправленно, с целью обогащения.  Основных причин, по которым взламывают сайты, несколько:

  1. Сделать из сайта дорвей.
  2. Использовать ресурс для продажи ссылок в Sape и на других аналогичных площадках.
  3. Воспользоваться базой ваших клиентов (если на сайте есть регистрация) или своровать пароли и логины.
  4. С целью шантажа. Перечислите денежку, и мы вернем вам доступ к сайту.
  5. Что бы превратить компьютер пользователя сайта в часть ботнета.
  6. Показывать пользователям рекламу. Причем, реклама может показываться не всем, а лишь пользователям, отсеянных по определенному критерию.

Как правило, больше всего взламывают крупные сайты, с посещаемостью от тысячи человек. Эти сайты взламывают целенаправленно. А так же, сайты с бешенным тИЦ. Их так же можно отнести в эту категорию риска. Все остальные сайты взламывают на потоке.

Что-то я разашелся сегодня. Пора и честь знать. Надеюсь, что сумел ответить на основные вопросы, как защитить сайт от взлома и вирусов, и что делать, если сайт таки взломали. Ну, а если у вас остались вопросы, то милости прошу в комментарии. Так же буду рад всем, кто жмет на кнопочки социальных сетей внизу, и делится информацией на своих страницах. За сим прощаюсь, до новых встреч.

Так же советую почитать:

Как не стать жертвой интернет-мошенников
Приветствую всех читателей блога Старая Ворона! Сегодня, я решил поразмышлять на тему - мошенничеств...
Кто следит за нами в интернете?
Давеча показал своей знакомой возможности Яндекс Метрики (Дженета, привет 😉 ). Удивлению ее не было...
Пост о том, как мой хостер меня к Новому Году порадовал
Всех с наступающим! Как известно, под Новый Год случаются всякие чудеса и с небес валятся снег вмест...
SEO шутки
Привет, друзья! Помнится, год назад я публиковал на первое апреля подборку компьютерных розыгрышей. ...

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *