Înainte de a ne contacta compania, webmasterul a încercat, de regulă, să facă față problemei pe cont propriu: a reluat site-ul la versiunea neinfectată, în opinia sa, actualizarea CMS; a schimbat toate parolele și chiar a încercat să elimine codul rău intenționat. Dar site-ul intr-un fel infectat din nou si din nou.
În timpul conversației cu specialiștii web, anumite nuanțe au fost clarificate, însă greșelile făcute de noii veniți erau tipice. În acest articol, vom descrie principalele dintre ele. Vom vorbi imediat, nu am efectuat studii și sondaje speciale, ci doar am sistematizat informațiile pe care le-am primit ca rezultat al multor ani de experiență practică în tratarea și protejarea siturilor.
În mod convențional, toate greșelile webmasterilor pot fi împărțite în trei grupe mari: înainte de începerea tratamentului, în timpul tratamentului și după acesta. Să începem în ordine.
Atenționate, dar nu înarmate
Site-ul pe care hackerul a lucrat, de ceva timp nu poate da în nici un fel. Adesea, resursele web sunt infectate în mai multe etape. În prima etapă, hackerul găsește o vulnerabilitate pe site și încarcă în mod silențios shell-ul pe el. El poate chiar "repara" o gaură în sine, pentru a nu da o bucată de tort colegilor din magazin. Dacă nu verificați în mod regulat site-ul cu un scaner cu coduri rău intenționate, de exemplu AI-BOLIT, care detectează coajă și backdoor, puteți pierde ocazia de a elimina într-un timp nedorit un invitat neinvitat pe site.
După câteva săptămâni, hackerul se va întoarce din nou la resursa web, dar deja cu scopul de a descărca viruși, de a introduce o redirecționare sau de a posta mesaje spam. Din momentul în care începeți să câștigați pe site până în momentul în care o găsiți, poate dura ceva timp - totul depinde de amploarea dezastrului. Pentru a trimite spam sau a plasa pagini de phishing, hoster-ul poate bloca imediat, motoarele de căutare pot răspunde rapid și la codul de virusi din paginile sau ușile. Dar, uneori, infecția se manifestă într-o formă lentă, nu atât de vizibilă. Se pare că vizitatorii se plâng ocazional, uneori există o notificare în panoul webmasterului că virusul de pe site. Dar a doua zi, utilizatorii continuă în liniște să facă achiziții în magazinul dvs. online, iar motoarele de căutare sunt silențioase. Ca rezultat, webmasterul "se relaxează" - este mai plăcut să credem că un utilizator plângător are un browser care este infectat și motorul de căutare a făcut o greșeală.
Din păcate, în realitate, totul nu este atât de simplu. După cum sa menționat deja, există diferite tipuri de infecții. Virusul poate fi activ în anumite zile, anumite ore, pentru utilizatorii anumitor dispozitive și regiuni. Și dacă motorul de căutare verifică site-ul dvs. în momentul în care programul malware este inactiv, atunci notificarea de la panoul webmasterului va dispărea.
Prin urmare, nu ignora nici un avertisment cu privire la securitatea proiectului web. Chiar dacă nu sunteți blocat de un motor de căutare sau motor de căutare, există și alte consecințe mai grave - la urma urmei, accesul la site-ul dvs. este de la altcineva, alături de dvs. Și poate fi acces nu numai la fișiere și la o bază de date, ci și la copii de rezervă. Deci există riscul pierderii site-ului fără posibilitatea restaurării acestuia.
În practica noastră au existat cazuri în care o astfel de desconsiderare pentru situația sa încheiat cu șantajul din partea atacatorului - un hacker obține acces administrativ la o resursă de web, extorcat bani amenințând să distrugă proiectul de web în întregime, iar echipa noastră au fost conectate deja în modul de „foc“ pentru o soluție urgentă la problema .
Există o suspiciune de activitate dăunătoare - nu fi leneș pentru a verifica site-ul pentru hacking și infecție.
Lucrați incorect cu scanerul de coduri rău intenționate
Sfatul aici poate fi unul numai dacă simțiți că nu sunteți încă gata să rezolvați problema dvs. - contactați specialiștii, comandați serviciul pe bază comercială, apoi consultați artistul despre suspiciunile dumneavoastră.
În plus, dezvoltatorii de instrumente de căutare a virușilor de pe site, de regulă, vă pot sfătui cu privire la raportul gratuit (la un anumit nivel). Nu riscați, salvați cunoștințele, obțineți altele noi - vă va ajuta să rezolvați problema în viitor pe cont propriu.
Motorul motoarelor de căutare
Un fel sau altul, succesul unui proiect web depinde în mare măsură de relația sa cu motoarele de căutare. Probabil, una dintre cele mai inutile lecții este de a încerca să le înșele.
Să presupunem că site-ul a fost listat ca "amenințând securitatea unui computer sau a unui dispozitiv mobil ...". Panoul webmasterului va afișa paginile pe care a fost detectat codul rău intenționat. Dar, în loc să caute o sursă de infecție, unii experți șterg paginile infectate, ceea ce nu rezolvă problema de securitate. Mai rău, uneori, webmasterii blochează complet accesul la site folosind reguli în robots.txt, crezând că acest lucru va ajuta la evitarea scanării site-ului de către un bot antivirus.
Interzicerea indexării este o etapă periculoasă. În primul rând, acest lucru poate duce la pierderea paginilor de site din indexul de căutare și, în al doilea rând, regulile care se aplică motoarelor de căutare nu funcționează pentru roboții de servicii antivirus.
Și din nou, nu puteți ignora faptul că site-ul este deja exploatat de intruși - pentru că în timp ce pierdeți timpul cu privire la înșelăciunea Yandex și Google, proiectul web este amenințat serios.
Tratarea unui site folosind un antivirus pentru un calculator
Webmasterii începători încearcă adesea să trateze site-uri care folosesc antivirusuri pentru desktopuri. Webmasterul face o copie de rezervă a site-ului și "stabilește" pe el un software antivirus conceput pentru calculator. O astfel de abordare nu va da rezultatele dorite, deoarece virușii scrise pentru site-uri diferă de virușii care infectează computerele utilizatorilor, iar antivirusul pentru desktop nu poate găsi majoritatea virușilor în baza de date a fișierelor și site-urilor.
Pentru a verifica site-ul, trebuie să utilizați scanere malware specializate, a căror bază de date este actualizată periodic cu noi copii ale elementelor rău intenționate.
Restaurarea unui site din copia de rezervă în loc de tratament
Adesea, atunci când un virus apare pe site, webmasterii încearcă să-l rezolve prin simpla rulare a site-ului într-o versiune neinfectată. Și continuă să o facă de fiecare dată, imediat ce apare o nouă infecție. O să ne dăm seama. Și ce este considerat o versiune curată a site-ului? La urma urmei, după cum deja știm, o coajă hacker poate fi pe site pentru o lungă perioadă de timp și nu poate acționa pe sine. Asta este, site-ul hacked devine un site hacked numai fără un redirecționare sau spam mailer, dar cu o coajă deja?
Să presupunem că puteți restaura un site curat dintr-o copie de rezervă. Dar problema securității rămâne deschisă: dacă site-ul dvs. a fost infiltrate neautorizat o dată și nu ați făcut nimic pentru a preveni această situație, va exista oa doua oară și o treime.
Revocarea site-ului este o opțiune foarte incomodă, nepractică și sigur nesigură. Orice întoarcere înapoi înseamnă că vă lipsiți de toate lucrările dvs. în ultimele zile - respingând modificările pe care le-ați făcut scripturilor, plug-in-uri instalate recent, texte noi și fotografii. Dar păstrează posibilitatea intrării neautorizate. Tactica îndoielnică de combatere a virușilor.
Nu e chiar că webmasterul nepotrivit își petrece timpul „pune mâna apă dintr-o barcă neetanșe“ (de obicei, proprietarul site-ului pentru a elimina codul manual, în timp ce hacker dă un malware ridica automat) - site-ul este în pericol, este o marionetă mâinile unui hacker.
Sarcina principală în această situație nu este numai de a scăpa de virusul de pe site, ci de a lua măsurile necesare pentru a elimina vulnerabilitățile în plug-in-uri și scripturi. În 80 de cazuri din 100, re-infectarea are loc ca urmare a exploatării de către hacker a tuturor acelorași lacune.
Cele mai populare tipuri de vulnerabilități / atacuri care duc la hacking pe site pot fi împărțite în următoarele tipuri (clasificarea completă a vulnerabilităților este disponibilă pe site-ul Web OWASP TOP 10):
RCE (Remote Code Exection) - executarea de la distanță a codului rău intenționat;
AFU (File Arbitrary Upload), care vă permite să încărcați fișierele pe gazdă, aceste fișiere pot fi scripturi executabile;
Injecție SQL, care este utilizată pentru a manipula baza de date (adăugarea unui nou administrator de site, recuperarea parolelor, inserarea de viruși, "scurgerea" bazei de date etc.);
XSS (Cross Site Scripting) - un atac, în urma căruia codul este injectat pe pagina site-ului, iar atacatorul primește acces neautorizat la date: "cookies", chei sesiune, valori de câmp etc.
Cum să vă apărați:
• Executarea codului la distanță este rezolvată în codul sursă al script-urilor (instalarea de patch-uri de securitate, remedierea erorilor dezvoltatorului). O parte a problemei poate fi rezolvată prin utilizarea patch-urilor virtuale cu WAF (Web Application Firewall), care vor bloca cererile care conțin cod executabil sau fragmente rău-intenționate.
• Problemele cu AFU pot fi evitate prin interzicerea executării de script-uri PHP în directoarele de descărcare. Pentru a face acest lucru, este amplasat un fișier special de configurare .htaccess, care va bloca accesul la alte fișiere decât cele de încredere sau va dezactiva procesarea de script-uri PHP.
• Întrebarea despre injecțiile SQL este rezolvată cu ajutorul patch-urilor virtuale sau reale ale codului sursă (corectarea erorilor dezvoltatorului, care nu filtrează destul de bine intrarea scriptului). Pentru patch-uri virtuale, WAF este, de asemenea, potrivit, care va filtra interogările cu injecții SQL.
• Pentru a proteja împotriva XSS, trebuie să scrieți un set de reguli într-un fișier .htaccess sau să configurați un server web astfel încât anteturile HTTP să conțină parametri specifici care blochează posibilitatea unui atac.
Portatarea nesigură a site-urilor de găzduire
Nu folosiți site-ul la locul de muncă, nu este timp să-l verificați și să îl protejați? Blochează sau elimină-o de la găzduire. Poate că acest lucru vă va salva de la probleme de securitate mari în viitor.
Ultimul lucru, nu uitați de regulile de securitate de bază atunci când lucrați cu site-uri. Ele sunt simple și ușor de înțeles, dar, din păcate, sunt adesea ignorate de noii webmasteri:
Verificați periodic computerele din care administrați site-ul, antivirusul comercial;
Nu uitați să schimbați parolele de la găzduirea și panoul administrativ al site-ului, utilizați combinații complexe;
Nu stocați parole în programe (ftp-clienți, browser, e-mail);
Păstrați copii de rezervă ale site-ului nu numai pe gazda, ci și pe computerul local;
Lucrați în rețele deschise printr-o conexiune securizată (VPN);
Renunțați la FTP nesigur - accesați protocoalele securizate SFTP și SCP.
Amintiți-vă întotdeauna, este mai bine să protejați site-ul în mod proactiv, fără a aștepta legătura slabă de pe site-ul dvs. să găsească un hacker.
