Для чего на самом деле хакеры ломают сайты

Так для чего на самом деле хакеры ломают сайты? 

Многие вебмастера имеют неверное или неполное представление об этой проблеме, что не позволяет им:

• вовремя обнаруживать факты взлома
• очищать сайты от вредоносного содержимого
• и эффективно защищать свои сайты.

Если разобраться, для чего хакеры взламывают сайты и каким образом они добиваются своих целей, то станет понятно, как обнаруживать факты взлома и как очищать и защищать свои сайты. 

Нередко задаваемые вопросы, которые задают себе люди, у которых взломали сайт

• Я сделал небольшой интернет-сайт, чтобы выкладывать фото для своих родственников. На него заходят лишь 3 человека. Кому понадобилось взламывать подобный сайт?
• Я не слишком давно купил домен и теперь разрабатываю ресурс. Пока на сервере висит лишь страница "Ресурс в создании. Приходите позднее". Тем не наименее Google уже заблокировал мой ресурс и заявляет, что он опасен для посещения. Как такое может оказаться?
• Я не распространяю никаких вирусов на собственном веб-ресурсе. По какой причине Google заблокировал его и пугает моих посетителей? 
• Я проверил собственный веб ресурс антивирусом и он не обнаружил там никаких проблем! По какой причине вы говорите, что там вирусы?
  
  

I-е, что приходит в голову многим людям:

• Противники/конкуренты желают навредить владельцу ресурса

• Дети балуются

• Как в кино или в вестях, чтобы похитить ценную информацию с ресурса. 

Хотя в реальной жизни такие виды взлома достаточно редки и случаются менее чем в проценте случаев. 

Для чего в действительности ломают сайты? 

Взлом и использование взломанных сайтов - это бизнес. Взломанные сайты - это ценный ресурс, приносящий немалые деньги. Для определённой цели взламывается не один сайт, а тысячи сайтов по всему миру - при суммировании получаются миллионы взломанных страниц.

Получить посетителей для нелегальных и полулегальных ресурсов 

• перенаправляя всех или часть посетителей взломанного ресурса на сайты продающие фальшивые средства и предметы роскоши, пиратский контент, игорные сайты, порно сайты, мошеннические сайты
• Манипулирование результатами поисковых машин
• паразитируя на репутации взломанного ресурса (невидимые ссылки, 301 редиректы, подделанные rel=canonical)
• Заражение посетителей ресурса вирусами - заражённые компьютеры также весьма ценный ресурс: спам, DDOS,банки, пароли, боты
• Бесплатно пользоваться серверными ресурсами за которые платят хозяева взломанных сайтов (размещение вредоносных программ, спаммерские подразделы, прокси и обратные прокси) 

Пример взлома:

• ноябрь-декабрь 2011 г., PAGERANK = 1, < 50 страниц, посещаемость в среднем 20 - 60 просмотров страниц в день. После взлома на веб-ресурсе был размещён генератор спаммерских страниц, перенаправлявших посетителей на вредоносные сайты. На основе анализа логов: Google проиндексировал на нём более 27 000 дорвеев. За 5 недель на эти доры перешло более 140 000 посетителей. С того момента Google сделал перемены в алгоритме, которые закрыли возможность таких массовых злоупотреблений. 
• Сайт на joomla, с ТИЦ 30, PR=5 сотней страниц в поисковых системах google и yandex, взломана албанскими хакерами. Результат - испорчена только первая страница сайта (home), которая была восстановлена спустя 5 минут после обнаружения проблемы. Взлом имел имиджевый характер, т.к. хакеры не приминули упустить возможность похвастаться о результатах своей деятельности на своем форуме. Все это было выявлено по внезапно большому количеству посетителей с данного форума. Кроме восстановления сайт был перенесен на обновленную версию CMS с устраненными дырками в защите.
• Сайт на joomla с с ТИЦ 20, PR=3, тысяча проиндексированных страниц. В каталоге /image путем подбора паролей на ftp был помещен контент - примерно 10 тысяч страниц, с текстом и ссылками ведущими на партнерские сайты. Контент был обнаружен совершенно случайно, по резко увеличившейся в размерах базе данных. Вредоносный контент никак не влиял на работу сайта, за исключением того прискорбного случая, что поисковики понизили выдачу данного сайта за нецелевое содержимое страниц. О чем не подозревал вебмастер.

Гугл признаёт ресурс или страницу опасными, если: 

• Интернет-сайт автоматически перенаправляет посетителей на вредоносные Сайты
• страницы ресурса автоматически подгружают вредоносный Код
• сам ресурс не заражён, однако на веб-ресурсе размещены вредоносные файлы, которые загружаются при атаках на посетителей иных сайтов. 

По какой причине взлом бывает сложно обнаружить

• Прибыль, которую может принести взломанный веб ресурс, тем большую, чем дольше вебмастера и антивирусы не будут выявлять проблему. По этой причине 1 из основных задач у хакеров - сделать следы взлома возможно наименее заметными. К тому же, больше всего атак на сайты включают не только лишь сам вредоносный код, но и средства для скорейшего повторного заражения ресурса (если он будет очищен) и средства для частой перемены вредоносного кода (чтобы избежать блокирования антивирусами и другими системами безопасности)
   

Для того чтоб скрыть от вебмастера факт взлома ресурса, используется ряд трюков:

• Перенаправление людей на иные сайты лишь если они соответствуют определённым условиям, к примеру, если I раз зашли на интернет-сайт, зашли на ресурс с поисковика или из соц. интернете.
• Зашифрованный код.Маскировка под полезный код, к примеру под счётчик, плагин к движку.
• Размещение вредоносных файлов в подкаталогах: папки с картинками, стилями. 
  
  

Антивирусы не отслеживают: 

• проблемы, которые возникают у других посетителей сайта
• проблемы, возникающие в другие моменты времени и при других условиях
• проблемы, которые не угрожают персональному компьютеру, но представляют угрозу сайту или серверу.
   

По какой причине антивирусы неэффективны:

• Нередко меняются доменные имена, на которых располагается вредоносное ПО или куда идёт перенаправление людей и блэк-листы антивирусников не могут за этим угнаться. 

• они защищают лишь компьютер и работают с конкретной посещенной страницей, а не всем сайтом вцелом, помимо того эта посещенная страница может не содержать вредоносный код, который вставляется при соблюдении некоторых условий.  
• Также, неопределенный тип серверного вредоносного наполнения не представляет для персонального компьютера никакой опасности и антивирус не будет предупреждать о нем, к примеру:
  • backdoors (ч/з них хакеры проникают на взломанные сервера,однако сами по себе они не несут угрозы (для посетителей) ), 
  • спаммерский контент.

Приёмы, применяемые хакерами. Чтоб скрыть вредоносный контент и сделать его трудноопределяемым применяются слующие трюки: 

1. Условные переходы как правило делается ч/з .htaccess или при помощи PHP кода).  Перенаправление посетителя случается лишь 

• если он пришёл с конкретных сайтов (поисковые системы, соц. интернете)
• если посетитель пришёл на интернет-сайт в первый раз (cookie) 

Вебмастера под эти условия как правило не подпадают, потому они не замечают вредоносного поведения своих сайтов

2. Зашифрованный/непонятный код 

• if(text.document)aa=0+[];bbb='0';try{new"a".prototype}ifcatch(hgberger){if(aa===aaa).......n="3.5j3.5j51.5j54j15j19j49j23.5j48.4j57.5j53.5j49.5j54j57j22j50.5j49.5j.... if (!iset($EA1FYLBKBCVSIR)) {$EV1FYLBAKBCVSIR = "7kyj.... 

Многие вебмастера так себе неплохо разбираются в коде, потому предпочитают не трогать то, что не понимают, чтобы не сломать ресурс В то же время, нередкие перешифровки кода делают трудным его определение антивирусами и прочими системами безопасности.   

3. Код похожий на хороший 

• Фальшивки под Гугл Analytics, счётчики:   if(typeof(google_ counter)!=typeof(1))eval(unescape(... 

• поддельные плагины для WORDPRESS: word press-content/plugins/TOOLSPACK/TOOLSPACK.php 

Кое-какие вебмастера слепо доверяют комментариям и знакомым именам фирм, не спрашивая себя, откуда это взялось.  

4. Вредоносный контент глубоко в подкаталогах 

• Глубоко в подкаталогах, куда нечасто заглядывают вебмастера, создаются подразделы с вредоносными файлами 

• Вредоносные файлы в каталогах, где вебмастера не ищут вредоносного кода
  images/
  css/
  languages/  
  
  

Основные типы вредоносного содержимого, из-за которых сайт может попасть под фильтр в поисковых системах Google и Yandex

В большинстве случаев, поисковая система признаёт сайт или страницу опасными, если: 

• Сайт автоматически  перенаправляет посетителей на вредоносные сайты
  .htaccess
  JavaScript
  серверные скрипты (например PHP) 

• Страницы сайта автоматически  подгружают вредоносный код
   <iframe>
  <script>
  реклама, причем как правило, -  с партнёрских сайтов
  в редких случаях напрямую Flash, Java 

• Сам сайт не заражён, но на сайте размещены вредоносные файлы, которые загружаются при атаках на посетителей других сайтов.

Что делать?

• Несколько версий бэкапов (несколько на случай, если забэкапили уже взломанный интернет-сайт). Всегда имейте под рукой полный бэкап чистой версии сайта. Так вам легко будет вернуть систему назад: 

•  Делайте бэкап после каждых серьёзных изменений, и храните несколько разных версий бэкапа (на случай, если в последние версии попал вредоносное содержимое)

  ● Используйте сисемы отслеживающие изменения в файловой системе.

  • Например системы контроля версий (Subversion, Git, Mercurial, и т. п.)
  • Или напишите простейший скрипт, сохраняющий структуру сайта и проверяющий контрольные суммы файлов. При появлении изменений, проверяйте, было ли это желанное изменение или нет.
  • Сервисы вроде CodeGuard

   

• Используем и инструменты для проверки сайтов:
  • http://www.rexswain.com/httpview.html - позволяет просмотреть веб ресурс на наличие условных действий - редиректа,возникновения вредоносного кода.
  • https://www.google.com/webmasters/tools Диагностика > Вредоносные программы.
  • Страницы диагностики "Безопасный просмотр" http://www.google.com/safebrowsing/diagnostic?site=вашсайт.ru
  • NoScript    https://addons.mozilla.org/en-US/firefox/addon/noscript/ - По одному, разрешаете все скрипты на своём сайте. Если там появятся скривты с посторонних сайтов, то появится предупреждающая иконка.

• • Вводите адрес страницы, User-Agent (любой браузер или Googlebot) и Referer (например, http: //www.google.com/search?q=test, чтоб проверить поведение при переходе с поисковика. Далее проверяйте HTTP заголовки и HTML код. Позволяет выявить нежелательные (и зачастую скрытые) элементы страницы или поведение сайта.

Что ещё необходмо понимать вебмастеру, пострадавшему из-за хакерской атаки: заявления на пересмотр в итоге заражения вредоносным ПО и заявления на пересмотр бана в поиске - различные вещи.

Оставьте свой комментарий!