Так для чего на самом деле хакеры ломают сайты?
Многие вебмастера имеют неверное или неполное представление об этой проблеме, что не позволяет им:
- вовремя обнаруживать факты взлома
- очищать сайты от вредоносного содержимого
- и эффективно защищать свои сайты.
Если разобраться, для чего хакеры взламывают сайты и каким образом они добиваются своих целей, то станет понятно, как обнаруживать факты взлома и как очищать и защищать свои сайты.
Нередко задаваемые вопросы, которые задают себе люди, у которых взломали сайт
- Я сделал небольшой интернет-сайт, чтобы выкладывать фото для своих родственников. На него заходят лишь 3 человека. Кому понадобилось взламывать подобный сайт?
- Я не слишком давно купил домен и теперь разрабатываю ресурс. Пока на сервере висит лишь страница "Ресурс в создании. Приходите позднее". Тем не наименее Google уже заблокировал мой ресурс и заявляет, что он опасен для посещения. Как такое может оказаться?
- Я не распространяю никаких вирусов на собственном веб-ресурсе. По какой причине Google заблокировал его и пугает моих посетителей?
- Я проверил собственный веб ресурс антивирусом и он не обнаружил там никаких проблем! По какой причине вы говорите, что там вирусы?
I-е, что приходит в голову многим людям:
- Противники/конкуренты желают навредить владельцу ресурса
- Как в кино или в вестях, чтобы похитить ценную информацию с ресурса.
Хотя в реальной жизни такие виды взлома достаточно редки и случаются менее чем в проценте случаев.
Для чего в действительности ломают сайты?
Взлом и использование взломанных сайтов - это бизнес. Взломанные сайты - это ценный ресурс, приносящий немалые деньги. Для определённой цели взламывается не один сайт, а тысячи сайтов по всему миру - при суммировании получаются миллионы взломанных страниц.
Получить посетителей для нелегальных и полулегальных ресурсов
- перенаправляя всех или часть посетителей взломанного ресурса на сайты продающие фальшивые средства и предметы роскоши, пиратский контент, игорные сайты, порно сайты, мошеннические сайты
- Манипулирование результатами поисковых машин
- паразитируя на репутации взломанного ресурса (невидимые ссылки, 301 редиректы, подделанные rel=canonical)
- Заражение посетителей ресурса вирусами - заражённые компьютеры также весьма ценный ресурс: спам, DDOS,банки, пароли, боты
- Бесплатно пользоваться серверными ресурсами за которые платят хозяева взломанных сайтов (размещение вредоносных программ, спаммерские подразделы, прокси и обратные прокси)
Пример взлома:
- ноябрь-декабрь 2011 г., PAGERANK = 1, < 50 страниц, посещаемость в среднем 20 - 60 просмотров страниц в день. После взлома на веб-ресурсе был размещён генератор спаммерских страниц, перенаправлявших посетителей на вредоносные сайты. На основе анализа логов: Google проиндексировал на нём более 27 000 дорвеев. За 5 недель на эти доры перешло более 140 000 посетителей. С того момента Google сделал перемены в алгоритме, которые закрыли возможность таких массовых злоупотреблений.
- Сайт на joomla, с ТИЦ 30, PR=5 сотней страниц в поисковых системах google и yandex, взломана албанскими хакерами. Результат - испорчена только первая страница сайта (home), которая была восстановлена спустя 5 минут после обнаружения проблемы. Взлом имел имиджевый характер, т.к. хакеры не приминули упустить возможность похвастаться о результатах своей деятельности на своем форуме. Все это было выявлено по внезапно большому количеству посетителей с данного форума. Кроме восстановления сайт был перенесен на обновленную версию CMS с устраненными дырками в защите.
- Сайт на joomla с с ТИЦ 20, PR=3, тысяча проиндексированных страниц. В каталоге /image путем подбора паролей на ftp был помещен контент - примерно 10 тысяч страниц, с текстом и ссылками ведущими на партнерские сайты. Контент был обнаружен совершенно случайно, по резко увеличившейся в размерах базе данных. Вредоносный контент никак не влиял на работу сайта, за исключением того прискорбного случая, что поисковики понизили выдачу данного сайта за нецелевое содержимое страниц. О чем не подозревал вебмастер.
Гугл признаёт ресурс или страницу опасными, если:
- Интернет-сайт автоматически перенаправляет посетителей на вредоносные Сайты
- страницы ресурса автоматически подгружают вредоносный Код
- сам ресурс не заражён, однако на веб-ресурсе размещены вредоносные файлы, которые загружаются при атаках на посетителей иных сайтов.
По какой причине взлом бывает сложно обнаружить
- Прибыль, которую может принести взломанный веб ресурс, тем большую, чем дольше вебмастера и антивирусы не будут выявлять проблему. По этой причине 1 из основных задач у хакеров - сделать следы взлома возможно наименее заметными. К тому же, больше всего атак на сайты включают не только лишь сам вредоносный код, но и средства для скорейшего повторного заражения ресурса (если он будет очищен) и средства для частой перемены вредоносного кода (чтобы избежать блокирования антивирусами и другими системами безопасности)
Для того чтоб скрыть от вебмастера факт взлома ресурса, используется ряд трюков:
- Перенаправление людей на иные сайты лишь если они соответствуют определённым условиям, к примеру, если I раз зашли на интернет-сайт, зашли на ресурс с поисковика или из соц. интернете.
- Зашифрованный код.Маскировка под полезный код, к примеру под счётчик, плагин к движку.
- Размещение вредоносных файлов в подкаталогах: папки с картинками, стилями.
Антивирусы не отслеживают:
- проблемы, которые возникают у других посетителей сайта
- проблемы, возникающие в другие моменты времени и при других условиях
- проблемы, которые не угрожают персональному компьютеру, но представляют угрозу сайту или серверу.
По какой причине антивирусы неэффективны:
- Нередко меняются доменные имена, на которых располагается вредоносное ПО или куда идёт перенаправление людей и блэк-листы антивирусников не могут за этим угнаться.
- Даже если скачать все файлы с сервера на локальный компьютер и проверить их антивирусом, то он может пропустить большое количество угроз, так как не может вести работу в форматами, обрабатываемыми сервером , к примеру PHP , .htaccess
- они защищают лишь компьютер и работают с конкретной посещенной страницей, а не всем сайтом вцелом, помимо того эта посещенная страница может не содержать вредоносный код, который вставляется при соблюдении некоторых условий.
- Также, неопределенный тип серверного вредоносного наполнения не представляет для персонального компьютера никакой опасности и антивирус не будет предупреждать о нем, к примеру:
- backdoors (ч/з них хакеры проникают на взломанные сервера,однако сами по себе они не несут угрозы (для посетителей) ),
- спаммерский контент.
Приёмы, применяемые хакерами. Чтоб скрыть вредоносный контент и сделать его трудноопределяемым применяются слующие трюки:
1. Условные переходы как правило делается ч/з .htaccess или при помощи PHP кода). Перенаправление посетителя случается лишь
- если он пришёл с конкретных сайтов (поисковые системы, соц. интернете)
- если посетитель пришёл на интернет-сайт в первый раз (cookie)
Вебмастера под эти условия как правило не подпадают, потому они не замечают вредоносного поведения своих сайтов
2. Зашифрованный/непонятный код
- if(text.document)aa=0+[];bbb='0';try{new"a".prototype}ifcatch(hgberger){if(aa===aaa).......n="3.5j3.5j51.5j54j15j19j49j23.5j48.4j57.5j53.5j49.5j54j57j22j50.5j49.5j.... if (!iset($EA1FYLBKBCVSIR)) {$EV1FYLBAKBCVSIR = "7kyj....
Многие вебмастера так себе неплохо разбираются в коде, потому предпочитают не трогать то, что не понимают, чтобы не сломать ресурс В то же время, нередкие перешифровки кода делают трудным его определение антивирусами и прочими системами безопасности.
3. Код похожий на хороший
- Фальшивки под Гугл Analytics, счётчики: if(typeof(google_ counter)!=typeof(1))eval(unescape(...
- поддельные плагины для WORDPRESS: word press-content/plugins/TOOLSPACK/TOOLSPACK.php
Кое-какие вебмастера слепо доверяют комментариям и знакомым именам фирм, не спрашивая себя, откуда это взялось.
4. Вредоносный контент глубоко в подкаталогах
- Глубоко в подкаталогах, куда нечасто заглядывают вебмастера, создаются подразделы с вредоносными файлами
- Вредоносные файлы в каталогах, где вебмастера не ищут вредоносного кода
images/ css/ languages/
Основные типы вредоносного содержимого, из-за которых сайт может попасть под фильтр в поисковых системах Google и Yandex
В большинстве случаев, поисковая система признаёт сайт или страницу опасными, если:
- Сайт автоматически перенаправляет посетителей на вредоносные сайты
.htaccess JavaScript серверные скрипты (например PHP)
- Страницы сайта автоматически подгружают вредоносный код
<iframe> <script> реклама, причем как правило, - с партнёрских сайтов в редких случаях напрямую Flash, Java
- Сам сайт не заражён, но на сайте размещены вредоносные файлы, которые загружаются при атаках на посетителей других сайтов.
Что делать?
- Несколько версий бэкапов (несколько на случай, если забэкапили уже взломанный интернет-сайт). Всегда имейте под рукой полный бэкап чистой версии сайта. Так вам легко будет вернуть систему назад:
-
Делайте бэкап после каждых серьёзных изменений, и храните несколько разных версий бэкапа (на случай, если в последние версии попал вредоносное содержимое)
● Используйте сисемы отслеживающие изменения в файловой системе.
- Например системы контроля версий (Subversion, Git, Mercurial, и т. п.)
- Или напишите простейший скрипт, сохраняющий структуру сайта и проверяющий контрольные суммы файлов. При появлении изменений, проверяйте, было ли это желанное изменение или нет.
- Сервисы вроде CodeGuard
- Используем и инструменты для проверки сайтов:
- http://www.rexswain.com/httpview.html - позволяет просмотреть веб ресурс на наличие условных действий - редиректа,возникновения вредоносного кода.
- https://www.google.com/webmasters/tools Диагностика > Вредоносные программы.
- Страницы диагностики "Безопасный просмотр" http://www.google.com/safebrowsing/diagnostic?site=вашсайт.ru
- NoScript https://addons.mozilla.org/en-US/firefox/addon/noscript/ - По одному, разрешаете все скрипты на своём сайте. Если там появятся скривты с посторонних сайтов, то появится предупреждающая иконка.
-
- Вводите адрес страницы, User-Agent (любой браузер или Googlebot) и Referer (например, http: //www.google.com/search?q=test, чтоб проверить поведение при переходе с поисковика. Далее проверяйте HTTP заголовки и HTML код. Позволяет выявить нежелательные (и зачастую скрытые) элементы страницы или поведение сайта.
Что ещё необходмо понимать вебмастеру, пострадавшему из-за хакерской атаки: заявления на пересмотр в итоге заражения вредоносным ПО и заявления на пересмотр бана в поиске - различные вещи.
Оставьте свой комментарий!
Добавить комментарий
|
Комментарии