Здесь я пишу о том, что мне интересно
Всегда в топе
· профессиональный аудит сайтов
· продвижение проектов любой сложности
· консультации по всем этапам продвижения
· блокады сайта фильтрами поиска
· стратегии непоискового продвижения
· создание компаний контекстной рекламы
· корпоративные аккаунты в соцсетях
· вывод сайтов из под ручных санкций Google
· вывод сайтов из под санкций Яндекс
· гарантированное удаление любых ссылок
· индивидуальные консультации
июнь 17, 2015, 17:14
Как правильно отреагировать на взлом и заражение сайта?
Обычно история у всех одинакова: сайт работал нормально и вдруг жалобы от пользователей на рекламу, а от хостера – на рассылку вредоносного ПО или подобные «сюрпризы». Далее, веб-мастера, как правило, «откатывают» сайт до последней рабочей версии (меняя, пароли, обновляя CMS и т.д.), не предполагая, что проблема, на самом деле, не устранена.
Ошибки до лечения
Взломанный хакером сайт, долгое время может продолжать работать в обычном режиме, ничем не выдавая присутствие какого-либо рода «зловредов». И наоборот, при рассылке спама, сайт может быть моментально заблокирован хостером и отмечен поисковиками, как, подозрительный или мошеннический.
Но, опять же, может быть и такая ситуация, когда вирус работает только в определенное время, для определенных устройств и т.д. В этом случае, ни поисковики, ни хостер, ни пользователи, ни сам веб-мастер, могут не заметить подозрительной активности.
Поэтому, если вы единожды увидели уведомление о заражении сайта – отнеситесь к нему серьезно и проверьте все, что можно проверить.
Неправильная работа со сканером
Программы, предназначенные для выявления вредоносного ПО на сайте, как правило, успешно выполняют свою работу, однако, определенные куски кода, которые находит такая программа, могут находиться и во вполне лицензионных программах. И в этом случае задача вебмастера отличить легальную программу от вируса.
Не пытайтесь обмануть поисковик
Если ваш сайт блокируется поисковиком, а в панели веб-мастера отображается список зараженных страниц, то их удаление не станет решением проблемы. Более того, изменение правил в файле robots.txt с целью блокирования проверок сайта антивирусными ботами, на самом деле, не исключает возможность таких проверок. Кроме того, если вы препятствуете, индексации своего сайта, то ваш сайт выпадает из поискового индекса, а антивирусные боты, все также продолжают «отрицательно» отзываться о вашем сайте.
Ошибки во время лечения
Не стоит особо надеяться на помощь обычных антивирусных программ. Как правило, они просто «не видят» вирусы на сайте по той простой причине, что такие вирусы отличаются от вредоносных программ для десктопов и ноутбуков. Именно поэтому, необходимо использовать специальные сканеры вредоносного кода для веб-сайтов.
Откат сайта до стабильной и незараженной версии – также не является выходом, поскольку далеко не всегда владельцу известно, когда именно произошло заражение сайта. Вполне возможно, что вы восстановите сайта из бэкапа, но где гарантия, что вместе с сайтом в бэкап не попал и хакерский шелл?
Что же делать?
В первую очередь избавиться от уязвимостей. Вот краткий список наиболее популярных из них, с кратким же описанием:
- Remote Code Exection – запуск вредоносного кода на удаленной машине (одним из вариантов решения может быть Web Application Firewall);
- Arbitruary File Upload – загрузка (в том числе и исполняемых) файлов в папку с сайтом (для предотвращения таких проблем чаще всего применяют запрет на выполнение PHP-скриптов);
- SQL-injections – уязвимость, открывающая путь к БД сайта (здесь, как и в первом случае, подойдет Web Application Firewall);
- Cross Site Scripting – внедрение кода на определенную страницу, с целью перехвата тех или иных данных (для защиты от такой уязвимости применяют набор правил в файле .htaccess).
Ошибки после лечения
Всегда следует учитывать и тот факт, что если вы храните на хостинге несколько сайтов, а заражен их них только один, то всегда остается очень высокая вероятность заражения и всех остальных сайтов. Поэтому при появлении проблем на одном сайте, обязательно проверяйте и все остальные, возможно хакер уже получил доступ ко всему вашему аккаунту.
И, наконец, общие правила безопасности, не станут лишними ни для кого: проверка ваших рабочих машин антивирусами, регулярная смена паролей от админ-панели и самого хостинга, регулярный бэкап сайта, причем не только на хостинге, но и на вашем ПК (а еще лучше на энергонезависимом носителе информации), работа через защищенное соединение, равно как и использование безопасных SFTP и SCP протоколов, и, конечно же, хранение паролей на листке бумаги, а не в почтовых клиентах, текстовых файлах или браузерах.
Использована работа "anonymous"
Credits: Jared Tarbell
