Вернуться   SEO форум - оптимизация и продвижение сайтов > Web разработки > Безопасность

Важная информация
Безопасность - Помощь в обнаружении и удалении вредоносного кода с сайта. Устранение последствий взлома. Все о веб безопасности.

Ответ
 
Опции темы Оценить тему Опции просмотра
Старый 18.02.2015, 17:02   #1
 
Аватар для BobanZ
 
Сообщений: 9
FR (активность): 145

Доп. информация
По умолчанию Автор темы Причины взлома сайта

Что делать если сайт взломан?



Этот вопрос возникает у каждого пользователя, который столкнулся с такой проблемой как взлом сайта.




Попробуем немного прояснить ситуацию.
Итак, во-первых, всегда нужно иметь архивные копии вашего сайта и его Базы данных в первую очередь. Если таковых у вас не имеется, не отчаивайтесь, вы смело можете обратиться в техническую поддержку вашего хостинг провайдера, и они восстановят ваши данные, если в наличии имеются резервные копии вашего сайта.


Но перед восстановлением нужно понять, как именно был взломан сайт, чтобы решить проблему и,чтоб она больше не повторялась в будущем. Причины взлома бывают разные, но мы остановимся на нескольких основных.




Основные причины взлома сайта

Первая причина взлома — это кража или подбор паролей к вашему FTP аккаунту или к административной части вашего сайта. Такое может произойти из-за вируса на вашем ПК, ОС или из-за устаревшей, уязвимой версии браузера, с которого был скачан сохраненный пароль, или установленный пароль был слишком прост (например, состоял только из цифр) и его легко подобрали.






Что касается подбора паролей: со стороны большинства хостинг провайдеров установлен фаервол, который блокирует IP адрес, если с него на протяжении 5 минут делается больше 5 попыток ввода неверных данных.


Пример логов блокировки ip фаерволом сервера




Поэтому, всегда устанавливайте надежный пароль, который состоит из цифр, больших и маленьких букв,а также содержит другие символы клавиатуры.
При установке пароля в панели управления Cpanel, система сама сообщит вам, что пароль является небезопасным или не содержит нужное количество символов.




Для генерации паролей можете использовать соответствующие онлайн ресурсы, например, techzoom.net/tools/password-generator.en или onlinepasswordgenerator.com. Не храните пароли в непроверенных приложениях на незащищенных(без антивирусов) ПК.


Вторая причина взлома — это устаревшая, уязвимая версия CMS системы (ее компонентов,плагинов) на которой работает ваш сайт. Самые “любимые” CMS для хакеров — это Joomla и WordPress. Сделав проверку большого количества сайтов работающих на CMS Joomla (было проверено 50 сайтов), мы получили, что, приблизительно, 79% из них не используют последние релизы соответствующих веток.


Что касается WordPress, ситуация выглядит аналогично — приблизительно 71% (по результатам проверки 50 сайтов), не обновлены до последней Stable версии. Стоит отметить, что риск взлома сайтов на устаревших версиях CMS очень высок, и это уже не зависит от хостинг провайдера.



Также, большое количество взломов CMS происходит через небезопасные плагины и компоненты, которые устанавливает себе клиент. Кроме того, через эти «дыры» безопасности на сервер загружаются всяческие exploit, iframe, php shell, в результате чего сайт перестаёт нормально функционировать и на его главной странице появляется перенаправление на взломанный индексный файл сайта.



Пример iframe в индексном файле сайта

Уязвимые компоненты и скрипты для CMS Joomla

1) подмена файлов LICENCE.php;




2) загрузка php shell в templates/beez/html/mod_login/ и замена templates/beez/index.php





Уязвимые компоненты и скрипты для WordPress

1) замена wp-login.php;




2) загрузка php shell и php eMailer через:
  • wp-content/plugins/wp-my-admin-bar;
  • wp-includes/js/tinymce/;
  • wp-content/themes/infinity.




3) уязвимость темы timthumb.php


Входящая во многие WordPress темы утилита для изменения размера изображений timthumb.php, уязвима к загрузке произвольного PHP-кода.
В конфигурации скрипта лежат несколько доменов (flickr.com, picasa.com, blogger.com, wordpress.com, img.youtube.com, upload.wikimedia.org, photobucket.com), с которых ему разрешено загружать изображения.


Из-за недостаточной проверки передаваемых параметров существует возможность загрузить веб-shell на сервер, используя список доверенных доменов для создания поддоменов с такими же названиями. То есть timthumb.php считает ссылку blogger.com.hackersite.com/webshell.php легитимной и позволяет загрузить скрипт на сервер.Таким образом, в код вашего скрипта прописывается eval(base64_decode( ))




Если вы не знаете, куда прописался вредоносный код, советуем установить плагин Timthumb Vulnerability Scanner.


После установки и активации данного плагина, запустится проверка папки с темами вашего блога, и если в результате проверки будут найдены уязвимые файлы скрипта timthumb.php, Вам будет предложено обновить их.




Мы также рекомендуем всем пользователям, которые используют WordPress для своих сайтов, проверить наличие данного файла в темах и заменить его на пропатченный вариант timthumb.php .
Со стороны большинства хостинг компаний внедрено ряд настроек по повышению безопасности сайтов клиента.

Настройки по повышению безопасности

1) Установка Firewall;



2) Подключение модулей Mod_security и suhosin;

Mod_security модуль в Cpanel


Модуль Suhosin и его настройки в php.ini

В связи с тем, что участились случаи взлома сайтов, многиехостинговые компании стали устанавливать Mod_security и Suhosin модули на свои сервера.


Mod_security — модуль Apache, добавляющий возможности обнаружения и предотвращения вторжения на Web сервер. Модуль mod_security работает только на HTTP уровне. Модуль позволяет анализировать действия HTTP протокола. В дополнение к обнаружению, mod_security также поддерживает предотвращение нападения. Поскольку модуль расположен между клиентом и сервером, то он производит поиск, и если запрос содержит злонамеренные данные, то тогда он может отклонить запрос.


Suhosin — позволяет бороться с SQL-инъекциями, атаками на переполнение буфера, с отправкой спама через некачественно написанные скрипты, с воровством cookie.


Однако, после установки Mod_security на сервере участились случаи жалоб клиентов на блокировки из-за работы данного модуля. В большинстве случаев причиной блокировок стал кириллический поиск на клиентских ресурсах.


Пример блокировки модулем mod_security

В таких случаях, необходимо написать запрос в техническую поддержку с просьбой полностью отключить mod_security для вашего акаунта.

Отключение mod_security в Cpanel с помощью ConfigServer ModSecurity Control для определённого домена.


3) в настройках PHP выключить такие функции, как: show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open, allow_url_fopen ;




4) отключить safe_mode и register_globals в php.ini.






Итоги

Действия пользователя в случае взлома сайта:


1. Проверить файлы сайта на предмет последних изменений, скачав их на локальный ПК или проверив через встроенный менеджер файлов в панели Cpanel.


2. Восстановить сайт из архивной копии.


3. Проверить наличие обновления CMS сайта для Joomla или для WordPress ,а также установленные модули, плагины и компоненты CMS.


4. Сменить пароль доступа к хостингу (FTP аккаунтов) и административный пароль доступа к сайту.


5. Очистить каталоги cache/ и tmp/ сайта.


Если следить за обновлениями CMS сайта, устанавливать компоненты только с проверенных источников, работать с сайтом только с защищенных ПК и иметь надежные пароли — вероятность взлома вашего сайта будет минимальная.

Автор статьи Ваш покорный слуга Источник http://americanohost.ru
BobanZ вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
"Спасибо" от:
psychomonkey (18.02.2015)
Ответ

Метки
joomla, wordpress, взлом joomla

Быстрый ответ
Ваше имя пользователя: Регистрация. Для входа нажмите здесь
Случайный вопрос

Сообщение:
Опции
Внимание!
Этой теме более 2730 дней. Вы можете оставить сообщение здесь. Но, обращаем внимание. Возможно, рациональней создать новую тему (найти свежее обсуждение)?


Опции темы
Опции просмотра Оценка этой теме
Оценка этой теме:

Ваши права в разделе
Вы не можете создавать новые темы
Вы можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
[ Личный опыт ] Защита сайта от вирусов и взлома через .htaccess upgreyt Безопасность 5 07.08.2017 09:06
Необходимо устраненить причины "торможения" сайта на WordPress psyhelp24 Сайты - создание 0 29.03.2014 13:28
Защита от взлома джумлы Exitoso Joomla 27 07.08.2013 19:25
23 причины не работать в крупных компаниях. gidroballon Беседка 16 15.05.2013 19:23
Причины для счастья Jaga Беседка 4 05.03.2012 16:56

Текущее время: 17:15. Часовой пояс GMT +3.