• { it статьи }

Восстановление сайта после взлома

Сайты взламывают вне зависимости от того, на сколько они популярны, какая у них посещаемость, какая информация на них размещена. Любой сайт для злоумышленника интересен, поскольку он представляет собой не только возможность заработка, но и инструмент для взлома других сайтов или других внешних ресурсов. Если же у сайта высокая посещаемость или высокий показатель в поисковых системах, он реализован на одной из систем управления сайтов с известными уязвимостями, которые доступны широкой аудитории, то вероятность взлома такого сайта возрастает в разы и, соответственно, данный сайт в зоне риска. 

К сожалению, на данный момент очень небольшое количество владельцев уделяет должное внимание информационной безопасности. Сайты взламывают. От этого страдает имидж компании, страдает владелец, который теряет существенные деньги.

В результате взлома возможно хищение конфиденциальных данных. Может быть нанесён ущерб имиджу компании. Может быть снижена прибыль, вплоть до потери бизнеса. Поскольку, иногда интернет-магазин единственный инструмент для ведения бизнеса. В результате взлома возможно паразитирование на сайте, когда злоумышленник заносит вредоносный код и зарабатывает на сайте деньги. Также одним из наиболее опасных моментов является технический сбой, вплоть, до уничтожения сайта хакером. Владелец вынужден тратить существенные деньги и время на восстановление сайта.

Существует достаточно много прямых и косвенных признаков взлома и способов узнать о том, что существуют какие-то проблемы без полного сканирования сайта на наличие вредоносного кода. Один из наиболее показательных вариантов это Deface. Страница сайта заменяется некой хакерской заглушкой, на которой размещена информация о том, кто его взломал, либо какое-то послание владельцу сайта. Deface может быть двух вариантов. Это полное уничтожение сайта, когда размещена одна единственная страница вместо системы управления сайтом. Так же это может быть просто замена файла, отображаемого по умолчанию (например index.html). В этом случае восстановление сайта можно организовать достаточно быстро.

Ещё одним из заметных признаков взлома является выявление вредоносного кода хостингом при сканировании сайта, либо самим владельцем при выполнении проверки сайта сканером безопасности. Может быть жалоба со стороны хостинга на спам-рассылку, на превышение нагрузки на сервер.

Что же делать, если взлом всё-таки произошёл? Прежде всего, необходимо заблокировать доступ к сайту. Делается это двумя способами. Можно зайти в панель управления хостингом и заблокировать доступ к сайту через неё, если позволяет функция хостинга. Если же возможности такой нет, то можно прописать конфигурацию в .htaccess файле, которая запрещает доступ для всех, кроме авторизованных IP адресов. 

Следующий момент, который обязательно необходимо сделать после взлома сайта, это заблокировать доступ к хостингу. Более дружелюбный вариант блокирования сайта для посетителей – это создание некой лэндинг страницы, которая позволит посетителям видеть процесс восстановления сайта. Это страница с информацией, где написано, что случилось с сайтом, когда он будет восстановлен. Данную страницу нужно оформлять грамотно, т.к. ошибка владельцев в том, что они переключают сайт в технический режим и надеются, что доступ к нему заблокирован. В действительности у хакера остаются доступы к своим скриптам. Физический доступ к сайту не заблокирован.

Если необходимо создать лэндинг страницу, то необходимо делать её в отдельном каталоге и направлять домен именно на этот каталог. У вас сохранится старая копия сайта с которой вы можете продолжать работать, а в новой директории у вас будет одна единственная страница с информацией для посетителей.

Следующий важный этап – это смена паролей и проверка антивирусом рабочих компьютеров. Сначала необходимо убедиться, что на рабочих компьютерах у вас всё чисто, затем поменять пароли от панели управления хостингом, от FTP, от SSH, от админ-панели сайта и от базы данных. После смены паролей надо собрать информацию о взломе. Необходимо запросить все логи за максимально возможный период времени на хостинге для того, чтобы провести анализ.

Затем осуществляется протоколирование проблем, которые наблюдаются на сайте. Необходимо установить источник информирования проблемы, т.е. откуда владелец или администратор сайта узнал, что сайт взломан. Далее необходимо зафиксировать приблизительную дату и время инцидента, она нужна для анализа логов – будет анализироваться активность посетителей. По дате и времени можно примерно установить те операции, которые вызвали сбой на сайте. Если есть возможность, можно получить список файлов на хостинге.

Если о проблеме известил посетитель сайта, то необходимо как можно детальнее получить от него информацию, в частности, сценарий поведения на сайте, который привёл к возникновению данной проблемы. Так же запросить скриншоты сайта, IP адрес с которого он заходил. Необходимо запросить время, тип устройства и регулярность воспроизведения проблемы, т.е. насколько часто она повторяется.

После сбора всей информации, её анализа и установления причин можно начинать восстанавливать сайт и закрывать все уязвимости. Восстановление сайта может быть из трёх возможных резервных копий. Резервная копия может храниться в самой CMS, может быть восстановлена из панели управления хостингом, может существовать локальная копия на компьютере владельца сайта. Предпочтительно выбрать резервирование локальное, т.к. в этом случае владелец сайта может выбрать собственную стратегию резервного копирования.

Очень важно вылечить сайт от вредоносного кода. Но восстановление сайта из резервной копии не гарантирует, что в ней отсутствуют вредоносные скрипты, хакерские бэкдоры, шеллы, уязвимости. Необходимо сканировать сайт специальными скриптами, программами, которые выполняют поиск вредоносного кода. Далее устанавливать защиту от взлома и устанавливать мониторинг, чтобы своевременно обнаруживать проблемы на сайте.

Проверка файлов и бэкапа базы данных может выполняться одним из трёх известных сканеров: AI-BOLIT, Maldet, ClamAv. По полученному отчёту удаляется вредоносный код, происходит обновление CMS, плагинов. Изменяются права на папки и на файлы для того, чтобы сделать все системные только для чтения. Последним этапом установки защиты является установка настроек веб-сервера на безопасные. Отключаются все системные функций в файле php.ini. Включается дополнительное логирование. Отключаются сообщения об ошибках.

Комментировать

Рубрики

Метки