|
|
[ Статья ] Причины взлома сайта |
|
Безопасность - Помощь в обнаружении и удалении вредоносного кода с сайта. Устранение последствий взлома. Все о веб безопасности. |
![]() |
|
Опции темы | Оценить тему | Опции просмотра |
![]() |
#1 |
|
![]() ![]() Что делать если сайт взломан?
Этот вопрос возникает у каждого пользователя, который столкнулся с такой проблемой как взлом сайта. ![]() Попробуем немного прояснить ситуацию. Итак, во-первых, всегда нужно иметь архивные копии вашего сайта и его Базы данных в первую очередь. Если таковых у вас не имеется, не отчаивайтесь, вы смело можете обратиться в техническую поддержку вашего хостинг провайдера, и они восстановят ваши данные, если в наличии имеются резервные копии вашего сайта. Но перед восстановлением нужно понять, как именно был взломан сайт, чтобы решить проблему и,чтоб она больше не повторялась в будущем. Причины взлома бывают разные, но мы остановимся на нескольких основных. ![]() Основные причины взлома сайта Первая причина взлома — это кража или подбор паролей к вашему FTP аккаунту или к административной части вашего сайта. Такое может произойти из-за вируса на вашем ПК, ОС или из-за устаревшей, уязвимой версии браузера, с которого был скачан сохраненный пароль, или установленный пароль был слишком прост (например, состоял только из цифр) и его легко подобрали. ![]() ![]() Что касается подбора паролей: со стороны большинства хостинг провайдеров установлен фаервол, который блокирует IP адрес, если с него на протяжении 5 минут делается больше 5 попыток ввода неверных данных. ![]() Пример логов блокировки ip фаерволом сервера Поэтому, всегда устанавливайте надежный пароль, который состоит из цифр, больших и маленьких букв,а также содержит другие символы клавиатуры. При установке пароля в панели управления Cpanel, система сама сообщит вам, что пароль является небезопасным или не содержит нужное количество символов. ![]() Для генерации паролей можете использовать соответствующие онлайн ресурсы, например, techzoom.net/tools/password-generator.en или onlinepasswordgenerator.com. Не храните пароли в непроверенных приложениях на незащищенных(без антивирусов) ПК. Вторая причина взлома — это устаревшая, уязвимая версия CMS системы (ее компонентов,плагинов) на которой работает ваш сайт. Самые “любимые” CMS для хакеров — это Joomla и WordPress. Сделав проверку большого количества сайтов работающих на CMS Joomla (было проверено 50 сайтов), мы получили, что, приблизительно, 79% из них не используют последние релизы соответствующих веток. Что касается WordPress, ситуация выглядит аналогично — приблизительно 71% (по результатам проверки 50 сайтов), не обновлены до последней Stable версии. Стоит отметить, что риск взлома сайтов на устаревших версиях CMS очень высок, и это уже не зависит от хостинг провайдера. Также, большое количество взломов CMS происходит через небезопасные плагины и компоненты, которые устанавливает себе клиент. Кроме того, через эти «дыры» безопасности на сервер загружаются всяческие exploit, iframe, php shell, в результате чего сайт перестаёт нормально функционировать и на его главной странице появляется перенаправление на взломанный индексный файл сайта. ![]() Пример iframe в индексном файле сайта Уязвимые компоненты и скрипты для CMS Joomla 1) подмена файлов LICENCE.php; ![]() 2) загрузка php shell в templates/beez/html/mod_login/ и замена templates/beez/index.php ![]() ![]() Уязвимые компоненты и скрипты для WordPress 1) замена wp-login.php; ![]() 2) загрузка php shell и php eMailer через:
![]() ![]() 3) уязвимость темы timthumb.php Входящая во многие WordPress темы утилита для изменения размера изображений timthumb.php, уязвима к загрузке произвольного PHP-кода. В конфигурации скрипта лежат несколько доменов (flickr.com, picasa.com, blogger.com, wordpress.com, img.youtube.com, upload.wikimedia.org, photobucket.com), с которых ему разрешено загружать изображения. Из-за недостаточной проверки передаваемых параметров существует возможность загрузить веб-shell на сервер, используя список доверенных доменов для создания поддоменов с такими же названиями. То есть timthumb.php считает ссылку blogger.com.hackersite.com/webshell.php легитимной и позволяет загрузить скрипт на сервер.Таким образом, в код вашего скрипта прописывается eval(base64_decode( )) ![]() Если вы не знаете, куда прописался вредоносный код, советуем установить плагин Timthumb Vulnerability Scanner. ![]() После установки и активации данного плагина, запустится проверка папки с темами вашего блога, и если в результате проверки будут найдены уязвимые файлы скрипта timthumb.php, Вам будет предложено обновить их. ![]() Мы также рекомендуем всем пользователям, которые используют WordPress для своих сайтов, проверить наличие данного файла в темах и заменить его на пропатченный вариант timthumb.php . Со стороны большинства хостинг компаний внедрено ряд настроек по повышению безопасности сайтов клиента. Настройки по повышению безопасности 1) Установка Firewall; ![]() 2) Подключение модулей Mod_security и suhosin; ![]() ![]() Модуль Suhosin и его настройки в php.ini В связи с тем, что участились случаи взлома сайтов, многиехостинговые компании стали устанавливать Mod_security и Suhosin модули на свои сервера. Mod_security — модуль Apache, добавляющий возможности обнаружения и предотвращения вторжения на Web сервер. Модуль mod_security работает только на HTTP уровне. Модуль позволяет анализировать действия HTTP протокола. В дополнение к обнаружению, mod_security также поддерживает предотвращение нападения. Поскольку модуль расположен между клиентом и сервером, то он производит поиск, и если запрос содержит злонамеренные данные, то тогда он может отклонить запрос. Suhosin — позволяет бороться с SQL-инъекциями, атаками на переполнение буфера, с отправкой спама через некачественно написанные скрипты, с воровством cookie. Однако, после установки Mod_security на сервере участились случаи жалоб клиентов на блокировки из-за работы данного модуля. В большинстве случаев причиной блокировок стал кириллический поиск на клиентских ресурсах. ![]() Пример блокировки модулем mod_security В таких случаях, необходимо написать запрос в техническую поддержку с просьбой полностью отключить mod_security для вашего акаунта. Отключение mod_security в Cpanel с помощью ConfigServer ModSecurity Control для определённого домена. 3) в настройках PHP выключить такие функции, как: show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open, allow_url_fopen ; ![]() 4) отключить safe_mode и register_globals в php.ini. ![]() Итоги Действия пользователя в случае взлома сайта: 1. Проверить файлы сайта на предмет последних изменений, скачав их на локальный ПК или проверив через встроенный менеджер файлов в панели Cpanel. 2. Восстановить сайт из архивной копии. 3. Проверить наличие обновления CMS сайта для Joomla или для WordPress ,а также установленные модули, плагины и компоненты CMS. 4. Сменить пароль доступа к хостингу (FTP аккаунтов) и административный пароль доступа к сайту. 5. Очистить каталоги cache/ и tmp/ сайта. Если следить за обновлениями CMS сайта, устанавливать компоненты только с проверенных источников, работать с сайтом только с защищенных ПК и иметь надежные пароли — вероятность взлома вашего сайта будет минимальная. Автор статьи Ваш покорный слуга ![]() |
![]() |
![]() ![]() ![]() |
"Спасибо" от: | psychomonkey (18.02.2015) |
![]() |
Метки |
joomla, wordpress, взлом joomla |
|
Опции темы | |
Опции просмотра | Оценка этой теме |
|
|
![]() |
||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
[ Личный опыт ] Защита сайта от вирусов и взлома через .htaccess | upgreyt | Безопасность | 5 | 07.08.2017 09:06 |
Необходимо устраненить причины "торможения" сайта на WordPress | psyhelp24 | Сайты - создание | 0 | 29.03.2014 13:28 |
Защита от взлома джумлы | Exitoso | Joomla | 27 | 07.08.2013 19:25 |
23 причины не работать в крупных компаниях. | gidroballon | Беседка | 16 | 15.05.2013 19:23 |
Причины для счастья | Jaga | Беседка | 4 | 05.03.2012 16:56 |
|
Текущее время: 17:15. Часовой пояс GMT +3.
|