Blog

Что нужно знать и как действовать, если ваш сайт взломали

Что нужно знать и как действовать, если ваш сайт взломали.

В последнее время идет очередная эпидемия в интернете.
Под ударом огромное количество сайтов на joomla и wordpress.
Дошло до того, что sweb, например, принудительно закрыл всем клиентам с этими CMS доступ к админке.
По моей практике — это не помогает. Мы по ip не закрывали админку, но закрывали ее на серверный пароль, через htpasswd.
Возможно, что ломают вообще через сам хостинг.

Если случилось так, что вас сломали и у вас есть более-менее свежий бэкап, то вы можете быстро выявить файлы с вредоносным кодом.
Сделать это можно через ssh на сервере.
Распаковываем резервную копию в какую-нибудь временную папку, например backup_07082013
Будем сравнивать с директорией, в которой лежит сайт. В моем примере это будет htdocs/, но это может быть www/ или public_html, docs/ или что-то другое.

Будем сравнивать командой diff
У команды не так много параметров, вот они:
diff -Naur dir1/ dir2/
-u — делаем вывод команды читаемым
-r — рекурсия по субдиректориям
-N и -a — только, если нужно создать файл патча

Нам достаточно первых двух ключей.
diff -u -r backup_07082013/ htdocs/

Если ваших собственных изменений между резервной копией и рабочим сайтом немного, то вы без труда найдете зараженные файлы.

Сделайте архив с взломанной версией сайта.
cd htdocs/ && tar -zcvf site.ru_07082013_virus.tgz .
Так же запросите у хостинг-провайдера логи. Логи долго не хранятся, поэтому важно, чтобы вы максимально быстро обнаружили взлом сайта.
Взломанная версия и логи потребуется специалисту, чтобы разобраться как именно взломали сайт и прикрыть дыры в безопасности.

Обнаружение зараженных файлов — это удаление последствий, а значит полумера.
Нужно также найти источник взлома. Это, скорее всего, уязвимость в плагине.
Особенно под ударом плагины, которые имеют дело с файловой системой — редакторы (JCE у joomla и др.). Они позволяют закачать картинку или файл и этим пользуются вирусы.
Для этого злоумышленник закачивает shell-скрипт, через который автоматически заражаются файлы сайта.

В заключение я дам несколько советов, как избежать этих проблем.

1. Держите руку на пульсе, не запускайте свой сайт, следите за обновлениями своей системы управления (CMS) и вовремя ставьте обновления и патчи.

2. Если такой возможности нет — встаньте на абонентское обслуживание к разработчику сайта.

3. Если для вашей CMS уже написан плагин или модуль, который отслеживает изменение фалов, то используйте его.
Если такого модуля нет, то закажите его и используйте.

4. Храните логи сайта и время от времени проверяйте свой сайт. Имейте ввиду, что очень многие из вирусов направлены на мобильные устройства и поисковые системы и с обычного ПК вы не увидите изменений в сайте.
Зайдя же с мобильника или из поисковой системы, вы можете быть переброшены на сайт-разносчик вируса.

5. Делайте резервные копии сайта. Не надейтесь на провайдера.
Кстати, наша программа абонентского обслуживания предполагает еженедельные резервные копирования.
Мы также можем настроить бэкап в облачный сервис Dropbox или Amazon C3.

 

Комментарии: