Что делать, если ваш сайт взломали

Мои веб-сайты взламывали пару раз. В данной статье я хочу рассказать о действиях, которые вы должны предпринять, если веб-сайт был взломан:

Что делать, если веб-сайт взломали Представьте себе. Вы заходите в интернет, чтобы заняться администрированием веб-сайтов, но что-то не так. Некоторые страницы не загружаются надлежащим образом. Вы приобретаете оповещение от Google, в котором говорится, что веб-сайт включает вредоносные программы. И вы понимаете, что веб-сайт был взломан.

Если вам знакома эта ситуация, то вы должны знать и это чувство. Шок, паника, смятение. Закипающий гнев в считанные минуты может превратить вас в виртуального Халка. Но не паникуйте. Вы должны оставаться спокойным. Рациональным. Контролировать себя. Чистый, сосредоточенный ум будет ключом для эффективного реагирования на любые нарушения безопасности.

Оцените размер ущерба

Обнаружив, что один из веб-сайтов взломан, проверьте остальные ресурсы, особенно, если они находятся на том же сервере. Вполне вероятно, что иные веб-сайты на этом сервере также могли подвергнуться атаке. Сначала проверьте и оцените масштабы ущерба, прежде чем предпринимать дальнейшие действия. Это даст вам лучшее понимание серьезности проблемы, и сможет принять обоснованные решения.

Блокируйте все доступы

После оценки ущерба необходимо заблокировать все доступы. Следует воспрепятствовать тому, чтобы кто-нибудь ещё получил доступ к веб-сайту, пока он уязвим. Не необходимо, чтобы пользователи начали волноваться по поводу взломанных страниц. А Google помечал веб-сайт как содержащий вредоносное программное обеспечение.

Лучший метод заблокировать веб-сайт, это добавить следующие правила в файл .htaccess веб-сайта, который потенциально может быть взломан:

# TEMP MAINTENANCE PAGE<IfModule mod_rewrite.c>RewriteCond %{REMOTE_ADDR}!^123.456.789$RewriteCond %{REMOTE_ADDR}!^987.654.321$RewriteRule.* - [R=503,L]</IfModule><IfModule mod_headers.c># 3600 = 60 minutes# 86400 = 1 dayHeader always set Retry-After "86400"</IfModule>

Этот программный код проверяет IP-адрес пользователя и сравнивает его с двумя адресами, которые указаны через RewriteCond. Только пользователи с соответствующих IP-адресов могут приобрести доступ. Можно без труда указать столько IP-адресов, сколько вам необходимо, или удалить одну из строк при необходимости. Этот проверенный и надежный скрипт разрешает доступ с указанных IP-адресов, а для всех остальных посетителей отображается сообщение 503 Service Unavailable. Чтобы убедиться, что он работает, посетив веб-сайт через прокси-сервис.

Вы можете легко спросить: «Почему бы не использовать скрипт режима обслуживания или плагин WordPress, вместо того чтобы возиться с.htaccess?» Во-первых, это быстро и просто: скопировать/вставить программный код и загрузить файл. А во-вторых, так как PHP-файлы и плагины могли быть взломаны, и вам необходимо будет деактивировать или заменить их в процессе очистки. Кроме этого файлом .htaccess в корневой папке веб-сайта легче управлять, и он будет оставлять веб-сайт заблокированным даже после того, как все файлы PHP будут удалены с сервера.

Измените все пароли

Измените все ваши пароли. Заведите специальный документ. В нем должны быть указаны все пароли от сервера или связанные с ним, например:

  • Панели управления сервером;
  • Аккаунта на веб-хостинге;
  • Все пароли SSH;
  • Все пароли FTP;
  • Все логины и пароли баз данных;
  • Все HTTP /.htaccess пароли аутентификации;
  • Все пароли приложений(к примеру, ключи к WordPress и т.д.);
  • Пароли от почты;
  • Пароли посетителей.

Будьте внимательны, это может быть долгой, утомительной частью процесса восстановления взломанного веб-сайта, но это надо сделать тщательно. И не забудьте установить надежные пароли. Если это надо, используйте онлайн-инструмент для создания безопасных паролей.

Запишите все

Откройте текстовый файл и задокументируйте все ваши действия по очистке. Это даст вам четкое представление о том, что необходимо сделать на завершающем этапе анализа и как предупредить атаки злоумышленников в будущем. Пару вещей, которые я рекомендую включить в записи:

  • Описание того, что случилось, и как вы это обнаружили;
  • Описание того, что вы заметили;
  • Список пострадавших веб-сайтов и их страниц;
  • Журналы записей, время, даты и т.д.;
  • Любые IP-адреса, которые могут быть причастны к взлому;
  • Копии всех подозрительных кодов, которые вы обнаружите;
  • Список всех полезных результатов поиска, статей, кодов и т.д.;
  • Файлы логов ошибок PHP, доступов по HTTP, FTP-активности и т.д.;
  • Скриншоты и копии всех пострадавших и взломанных страниц;
  • В данной статье мы рассмотрим переписки между вами и хостинг-провайдером или технической поддержкой.

Ведение подробных записей предоставит вам бесценную информацию, которая может быть использована для оценки, доказательств и документации. У меня до сих пор хранятся все файлы описания каждого из случаев взлома моих веб-сайтов. Подробная документация может более оперативно реагировать, если что-то подобное случится с вами в будущем.

Общайтесь по данной теме

О взломе должны знать все члены команды. После блокировки веб-сайта следует обсудить с ними сложившуюся ситуацию и скоординировать дальнейшие действия.

Также следует обратиться за консультацией к специалистам или к людям, которые имеют больше опыта в вопросах безопасности. Если никто в команде до сих пор не сталкивался с задачами по восстановлению и защите взломанного веб-сайта, лучше всего нанять специалиста в данной области.

Проведите расследование

На данный момент у вас должно быть все заблокировано, и вы должны быть готовы начать расследование и наведение порядка. Этот этап требует большого опыта и понимания аспектов веб-безопасности. В зависимости от размеров нанесенного ущерба нанятый специалист по безопасности может сэкономить вам драгоценное время.

Если вы собираетесь заняться процессом очистки самостоятельно, вот некоторые действия, которые вам необходимо сделать:

  • Просканировать веб-сайт на наличие вредоносного кода;
  • Просканировать веб-сайт на наличие уязвимостей;
  • Просканируйте взломанные файлы и сравните их содержание с сохраненными безопасными копиями;
  • Проверьте журналы доступа;
  • Проверьте неизвестные или несоответствующие файлы на сервере;
  • Проверьте повторяющиеся модели поведения в логах сервера;
  • Определите, что не работает на веб-сайте и постарайтесь установить причину.

Важно точно понять, при помощи какого способа веб-сайт был взломан. Определите основные уязвимости веб-сайта, методы воздействия через них и результаты этого воздействия. В зависимости от сложности взлома вам придется проверить один файл или тысячи.

Пару дополнительных советов по определению способа атаки на веб-сайт:

  • Тщательно изучите файлы логов; они содержат большую часть информации, необходимой, чтобы точно определить, что произошло;
  • Проверьте через поиск в интернете все фрагменты вредоносного кода. Скорее всего, кто-то в Сети сообщал о подобных событиях;
  • Задайте на поиск фразы, содержащие имя веб-сайта или URL-адрес вместе такими словами, как «взлом«, «атака» и иными терминами. Если какой-то злоумышленник взломал веб-сайт, он, возможно, захочет рассказать об этом всему миру;
  • Обратитесь к данному Руководству по устранению неполадок, чтобы узнать об углубленных способах, которые помогут выявить и идентифицировать разные взломанные файлы.

В 2013 году Perishable Press был взломан. Я провел расследование и попытался найти в Интернете любые возможные улики. Я обнаружил, что злоумышленник написал об этом на одном приватном хакерском форуме. Он подробно рассказал обо всем, что было сделано, чтобы взломать мой веб-сайт, в том числе конкретный механизм, при помощи которого был получен несанкционированный доступ.

Злоумышленник даже разместил в общем доступе мой логин и пароль от базы данных. Этот опыт был для меня одновременно и стрессовым и поучительным. Я понял, что, если веб-сайт был взломан, необходимо задействовать все функции поисковых систем — ответы могут лежать на поверхности.

Создавайте резервные копии

Важно, чтобы у вас под рукой была текущая, проверенная, работающая резервная копия. Из-за ее отсутствия вы рискуете потерять какую-то часть данных безвозвратно. Если вы сами не делаете резервные копии, попросите об этом хостера, если автоматическое резервное копирование для веб-сайта доступно. Некоторые хостеры регулярно делают ночные снимки файловой системы сервера, чтобы веб-сайт можно без труда было восстановить нажатием одной кнопки.

После того как вы обезопасили веб-сайт, используйте последнюю резервную копию, чтобы восстановить утерянные данные. Возможно, понадобится восстановить базу данных, файлы или что-нибудь ещё. Я исхожу из предположения, что веб-сайт взломан в полном объеме. И восстанавливать необходимо все, используя последнюю доступную резервную копию. Так что, регулярно создавая резервные копии, вы сможете восстановить все гораздо быстрее.

Также следует сделать резервную копию всей системы сразу же после обнаружения взлома. Таким образом, вы получите полный снимок состояния взломанного веб-сайта для дальнейшего анализа.

Повышайте безопасность

После определения причины проблемы и вычистки всех файлов на сервере, важно устранить все уязвимости. Даже не думайте загружать новый набор файлов и восстановленную базу данных, пока не обеспечите надлежащим образом безопасность. Проверьте безопасность веб-сайта и при необходимости усильте ее. Обновите уязвимый программный код, защитите важные файлы и заблокируйте подозрительных посетителей.

Помните, что 100% безопасности не существует, но можно без труда добавить пару слоев защиты и значительно повысить безопасность веб-сайта.

Поделитесь тем, что вы узнали

Вам не необходимо указывать какую-либо личную или конфиденциальную информацию, но можно легко рассказать иным о том, что произошло, и как вы исправили это. Ведь если это случилось с вами, то существует вероятность, что то же произойдет с иными.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *