[ Статья ] Причины взлома сайта

Что делать если сайт взломан?



Этот вопрос возникает у каждого пользователя, который столкнулся с такой проблемой как взлом сайта.




Попробуем немного прояснить ситуацию.
Итак, во-первых, всегда нужно иметь архивные копии вашего сайта и его Базы данных в первую очередь. Если таковых у вас не имеется, не отчаивайтесь, вы смело можете обратиться в техническую поддержку вашего хостинг провайдера, и они восстановят ваши данные, если в наличии имеются резервные копии вашего сайта.


Но перед восстановлением нужно понять, как именно был взломан сайт, чтобы решить проблему и,чтоб она больше не повторялась в будущем. Причины взлома бывают разные, но мы остановимся на нескольких основных.




Основные причины взлома сайта

Первая причина взлома — это кража или подбор паролей к вашему FTP аккаунту или к административной части вашего сайта. Такое может произойти из-за вируса на вашем ПК, ОС или из-за устаревшей, уязвимой версии браузера, с которого был скачан сохраненный пароль, или установленный пароль был слишком прост (например, состоял только из цифр) и его легко подобрали.






Что касается подбора паролей: со стороны большинства хостинг провайдеров установлен фаервол, который блокирует IP адрес, если с него на протяжении 5 минут делается больше 5 попыток ввода неверных данных.


Пример логов блокировки ip фаерволом сервера




Поэтому, всегда устанавливайте надежный пароль, который состоит из цифр, больших и маленьких букв,а также содержит другие символы клавиатуры.
При установке пароля в панели управления Cpanel, система сама сообщит вам, что пароль является небезопасным или не содержит нужное количество символов.




Для генерации паролей можете использовать соответствующие онлайн ресурсы, например, techzoom.net/tools/password-generator.en или onlinepasswordgenerator.com. Не храните пароли в непроверенных приложениях на незащищенных(без антивирусов) ПК.


Вторая причина взлома — это устаревшая, уязвимая версия CMS системы (ее компонентов,плагинов) на которой работает ваш сайт. Самые “любимые” CMS для хакеров — это Joomla и WordPress. Сделав проверку большого количества сайтов работающих на CMS Joomla (было проверено 50 сайтов), мы получили, что, приблизительно, 79% из них не используют последние релизы соответствующих веток.


Что касается WordPress, ситуация выглядит аналогично — приблизительно 71% (по результатам проверки 50 сайтов), не обновлены до последней Stable версии. Стоит отметить, что риск взлома сайтов на устаревших версиях CMS очень высок, и это уже не зависит от хостинг провайдера.



Также, большое количество взломов CMS происходит через небезопасные плагины и компоненты, которые устанавливает себе клиент. Кроме того, через эти «дыры» безопасности на сервер загружаются всяческие exploit, iframe, php shell, в результате чего сайт перестаёт нормально функционировать и на его главной странице появляется перенаправление на взломанный индексный файл сайта.



Пример iframe в индексном файле сайта

Уязвимые компоненты и скрипты для CMS Joomla

1) подмена файлов LICENCE.php;




2) загрузка php shell в templates/beez/html/mod_login/ и замена templates/beez/index.php





Уязвимые компоненты и скрипты для WordPress

1) замена wp-login.php;




2) загрузка php shell и php eMailer через:

• wp-content/plugins/wp-my-admin-bar;
• wp-includes/js/tinymce/;
• wp-content/themes/infinity.

3) уязвимость темы timthumb.php


Входящая во многие WordPress темы утилита для изменения размера изображений timthumb.php, уязвима к загрузке произвольного PHP-кода.
В конфигурации скрипта лежат несколько доменов (flickr.com, picasa.com, blogger.com, wordpress.com, img.youtube.com, upload.wikimedia.org, photobucket.com), с которых ему разрешено загружать изображения.


Из-за недостаточной проверки передаваемых параметров существует возможность загрузить веб-shell на сервер, используя список доверенных доменов для создания поддоменов с такими же названиями. То есть timthumb.php считает ссылку blogger.com.hackersite.com/webshell.php легитимной и позволяет загрузить скрипт на сервер.Таким образом, в код вашего скрипта прописывается eval(base64_decode( ))




Если вы не знаете, куда прописался вредоносный код, советуем установить плагин Timthumb Vulnerability Scanner.


После установки и активации данного плагина, запустится проверка папки с темами вашего блога, и если в результате проверки будут найдены уязвимые файлы скрипта timthumb.php, Вам будет предложено обновить их.




Мы также рекомендуем всем пользователям, которые используют WordPress для своих сайтов, проверить наличие данного файла в темах и заменить его на пропатченный вариант timthumb.php .
Со стороны большинства хостинг компаний внедрено ряд настроек по повышению безопасности сайтов клиента.

Настройки по повышению безопасности

1) Установка Firewall;



2) Подключение модулей Mod_security и suhosin;

Mod_security модуль в Cpanel


Модуль Suhosin и его настройки в php.ini

В связи с тем, что участились случаи взлома сайтов, многиехостинговые компании стали устанавливать Mod_security и Suhosin модули на свои сервера.


Mod_security — модуль Apache, добавляющий возможности обнаружения и предотвращения вторжения на Web сервер. Модуль mod_security работает только на HTTP уровне. Модуль позволяет анализировать действия HTTP протокола. В дополнение к обнаружению, mod_security также поддерживает предотвращение нападения. Поскольку модуль расположен между клиентом и сервером, то он производит поиск, и если запрос содержит злонамеренные данные, то тогда он может отклонить запрос.


Suhosin — позволяет бороться с SQL-инъекциями, атаками на переполнение буфера, с отправкой спама через некачественно написанные скрипты, с воровством cookie.


Однако, после установки Mod_security на сервере участились случаи жалоб клиентов на блокировки из-за работы данного модуля. В большинстве случаев причиной блокировок стал кириллический поиск на клиентских ресурсах.


Пример блокировки модулем mod_security

В таких случаях, необходимо написать запрос в техническую поддержку с просьбой полностью отключить mod_security для вашего акаунта.

Отключение mod_security в Cpanel с помощью ConfigServer ModSecurity Control для определённого домена.


3) в настройках PHP выключить такие функции, как: show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open, allow_url_fopen ;




4) отключить safe_mode и register_globals в php.ini.






Итоги

Действия пользователя в случае взлома сайта:


1. Проверить файлы сайта на предмет последних изменений, скачав их на локальный ПК или проверив через встроенный менеджер файлов в панели Cpanel.


2. Восстановить сайт из архивной копии.


3. Проверить наличие обновления CMS сайта для Joomla или для WordPress ,а также установленные модули, плагины и компоненты CMS.


4. Сменить пароль доступа к хостингу (FTP аккаунтов) и административный пароль доступа к сайту.


5. Очистить каталоги cache/ и tmp/ сайта.


Если следить за обновлениями CMS сайта, устанавливать компоненты только с проверенных источников, работать с сайтом только с защищенных ПК и иметь надежные пароли — вероятность взлома вашего сайта будет минимальная.

Автор статьи Ваш покорный слуга Источник http://americanohost.ru