Частный системный администратор

Зачем взламывают сайты и как с этим бороться

Нередко случается так, что злоумышленники взламывают сайт и нарушают этим его нормальную работу.  И очень часто владелец взломанного сайта ищет тайных и явных врагов и недоумевает, почему такое случилось с его сайтом. Спешу уверить всех пострадавших — тайные враги тут ни при чём, взломщики и не думали наносить вред конкретному сайту и им нет дела до владельцев сайтов, которые они взламывают, у них — совсем другие цели.

Итак, вначале разберемся, кому и зачем это нужно. Адресные взломы сайтов случаются достаточно редко и таким взломам подвержены только сайты общественно значимых персон и организаций: политиков, партий, государственных органов и т.д. Большинство же взломов сайтов производится в массовом порядке с целью получения площадки для занятий нелегальной деятельностью: заражение компьютеров и мобильных устройств посетителей вирусами, рассылка спама, устройство дорвеев — страниц, перенаправляющих посетителей на другие страницы, размещение страниц, используемых для торговли наркотиками и распространения порнографических материалов,  устройство прокси-серверов для сокрытия своего ip-адреса и ботнетов для проведения DDoS-атак, в общем, для всего, чем нельзя заниматься на легально приобретённой услуге хостинга.  Причём только для заражения компьютеров посетителей требуется хотя бы небольшая посещаемость сайта, для всего остального подойдёт даже абсолютно непосещаемый сайт.  Из этого следует, что ни один владелец сайта не может считать себя гарантированным от взлома.  Кроме профессиональных киберпреступников, взламывающих сайты для последующего извлечения прибыли, нередки и чисто вандальные взломы, совершаемые преимущественно школьниками для самоутверждения. И хотя вандальные взломы отличаются обычно очень серьёзным деструктивным вмешательством в сайт, эти взломы наименее опасны, поскольку их результат заметен сразу, когда ещё есть исправная резервная копия и журналы доступа для выяснения механизма взлома и устранения уязвимости. Профессиональный же киберпреступник взламывает сайт так, чтобы его владелец как можно дольше не обнаружил взлом, так что обычно взлом обнаруживается тогда, когда уже нет ни чистой резервной копии, ни журналов за период взлома.

Взломы наносят очень серьёзный ущерб владельцам сайтов: это и репутационный ущерб, и потери  от неработы сайтов, и санкции поисковых систем, и даже иногда неприятные беседы с сотрудниками правоохранительных органов.

Для массовых взломов есть два пути: подбор паролей и эксплуатация уязвимостей в коде сайтов. Защититься можно и от того, и от другого. Подобрать пароль методом полного перебора нереально: на такой перебор уйдут годы. Для подбора пароля используется словарный перебор, когда в первую очередь пробуются слова, по статистике чаще всего используемые как пароли. Использование пароля admin для пользователя admin является гарантией скорого и неизбежного взлома. Также мгновенно подберут пароль, совпадающий с именем сайта и т.д. И для административной панели сайта, и для управления услугами хостинга следует устанавливать сложный пароль, не являющийся связным словом ни в одной раскладке клавиатуры, например такой, какой генерируется на http://password.vvsite.ru.  Вопреки распространённому мнению, сохранять пароли на компьютере вполне безопасно, если компьютер индивидуального, а не общественного пользования. Если же по каким-либо причинам пароль необходимо помнить, а запомнить случайный набор букв и цифр не получается, можно соединить в один пароль несколько слов и чисел, которые Вы хорошо сможете запомнить, например, без пробелов, название улицы на которой живёте, номер телефона и имя любимого артиста, очевидно, что такого сочетания в словаре паролей не будет. Защита от уязвимостей заключается, прежде всего, в регулярном и своевременном обновлении CMS. Программного обеспечения без ошибок и уязвимостей существовать не может, но разработчики после обнаружения таковых выпускают обновления версий, эти уязвимости закрывающие, поэтому обновление версии CMS на сайте каждый раз, когда появляется новое обновление — обязательно. У разных CMS ситуация с обновлениями разная. Например, WordPress автоматически устанавливает обновления в рамках одной старшей версии, а при выходе новой старшей версии легко обновляется по кнопке в административной панели сайта, для CMS Joomla, наоборот, процесс обновления достаточно сложен и часто приводит к разрушению дизайна сайта, а обновление с версии 1.5 равнозначно разработке нового сайта. Если используемая CMS поддерживает установку дополнительных тем оформления и плагинов, к такой установке следует подходить очень осторожено. Темы и плагины можно брать только из официального репозитория CMS или из дающих гарантию платных источников. Ни в коем случае нельзя использовать темы и плагины из сторонних бесплатных источников: например, одно из собраний плагинов для WordPress, не поддерживаемое разработчиками WordPress, содержит  90% зараженных вирусами или имеющих преднамеренно установленные закладки плагинов.

Если же принятых мер по защите оказалось недостаточно и взлом сайта всё-таки произошёл — обращайтесь к специалисту.  При взломе исключительно важно по журналам проанализировать действия злоумышленников, чтобы найти и закрыть путь взлома, также необходимо тщательно удалить размещенный посторонний код. Поиск и устранение постороннего кода является достаточно сложной задачей, если же при очистке будет пропущен хотя бы один бекдор или вебшелл, то злоумышленники немедленно повторят взлом и восстановят весь вредоносный код. Поскольку вредоносный код, размещаемый на сайтах, большей частью вирусами не является, антивирусное ПО этот код не обнаруживают. С помощью антивирусного ПО удастся удалить только скриптовые вирусы, атакующие компьютеры посетителей. Для удаления бекдоров и вебшеллов существует специальное ПО, такое, как скрипт Ai-Bolit. К сожалению, такое ПО, рассчитанное на автоматическое удаление вредоносного кода, часто пропускают код, вредоносность которого не вполне очевидна. Качественно очистить сайт может только специалист, который тщательно проанализирует все выявленные по сигнатурам подозрительные файлы, оценит их вредоносность и удалит вредоносный код, не повредив код сайта.