Как предотвратить заражение сайта: вирус, троян, вредоносный код, червь. Защита сайта от вредоносного кода


Как защитить сайт от вирусов и PHP.Hide

Как защитить сайт от вирусов

Здравствуйте читатели seoslim.ru! Проблема защиты сайтов всегда была актуальна для всех вебмастеров, потому что никто не застрахован, что в один прекрасный день какой-либо из файлов проекта будет заражен вредоносным кодом.

Последствия могут быть различные, все зависит от того чего добивался злоумышленник создавая вирус: потеря данных, перенаправление трафика или уничтожение сайта...

Поисковые алгоритмы трепетно относятся к ранжированию сайтов в выдаче, поэтому постоянно проверяю на безопасность отдаваемые ими данные, и если при очередной проверке роботов будет обнаружен вредоносный код (троян, вирус, червь), то такой сайт помечается в «SERP» как не безопасный.

В Яндексе такие проекты выделены другим цветом (серым) с предупреждением, что скачивать файлы с сайта небезопасно.

зараженный сайт в выдаче Яндекс

Google раньше помечал вредоносные сайты сообщением «Этот сайт может нанести вред вашему компьютеру», однако теперь я такого предупреждения у него выдаче больше не вижу.

Зато Гугл не перестает развивать собственный интернет-браузер Хром, который на раз блокирует вредоносные сайты специальной заглушкой.

предупреждение о небезопасном сайте в Google Chrome

Понятное дело, что пользователь не захочет посещать страницы зараженного сайта и вебмастер в один миг лишится всего входящего трафика из поиска.

В самом начале ведения блога я уже сталкивался с подобного рода проблемой, когда у меня были похищены доступы ко всем сайтам из FTP-клиента и тогда трафик из Гугла сошел на нет, только благодаря предупреждению в выдаче.

трафик из Гугла после заражения вирусом

О том как я победил вредоносный код было рассказано в статье «Проверка и защита сайта от вредоносного кода Iframe», обязательно перейдите по ссылке, а то вдруг с такой проблемой придется столкнуться.

В любом случае надо искать заразу (вирус) в недрах сайта или компьютера, удалять и менять все доступы к админке, ftp и почте.

Ниже я хочу подробнее рассказать про основные правила, которые следует соблюдать, чтобы предотвратить заражение сайта и сохранить данные.

Новая атака на блог - PHP.Hide

С момента последнего заражения блога прошло уже больше трех лет. Скажу честно, я немного расслабился, посчитав, что учел предыдущие ошибки и теперь никакие вирусы мне нестрашны.

Но увы ошибся :)

Пару дней назад решил перейти в админку своего хостинг-провайдера Макхост, дабы продлить услуги домена, но обратил внимание на уведомление из раздела «Управление услугами» в отчете антивируса.

Отчет антивируса в Макхост

Кто не знает, но у большинства хостеров в обязанности входит периодически сканировать файлы сайтов клиентов на предмет вирусов и прочей нечисти.

Перейдя в отчет, я ужаснулся, так как мой блог находится под угрозой не известного для меня ранее вируса с пометкой PHP.Hide.

отчет антивирусной проверки

PHP.Hide — это разновидность вируса (закодированный вредоносный код), который призван рассылать спам сообщения. В большинстве случаев им страдают сайты на движке Joomla.

Данная зараза попадает через визуальный редактор JCE, которым привыкли пользоваться вебмастера на Джумле.

Но у меня ведь блог на WordPress, неужели ко мне тоже пробралась эта зараза через дыру движка?

Возможно, так как я уже длительное время не обновлял файлы CMS из-за того что версия 4.0 и выше не понравилась в плане юзабилити, можете прочитать статью как откатить движок сайта.

После сообщения хостера первым делом я перехожу в корневую папку сайта и сортирую все файлы в порядке последнего изменения, раз вирус появился недавно, стало быть, и зараженные файлы будут изменены в последние дни.

выдержка из корня сайта с вирусом

Как видно на фото выше по неизвестным мне причинам на сайт были закачены подозрительные файлы, замаскированные под картинки.

Из этих файлов и был тот, который хостер пометил как вирус PHP.Hide.

Насторожил тот факт, что редактировались файл самыми последними, когда 100% за прошедшее время никакие изображения не добавлялись на блог, вдобавок у этих файлов были открыты права доступа на «Запись».

изменить атрибуты файла

Дабы окончательно убедиться, что это вирусы я воспользовался бесплатной службой VirusTotal, цель которой проверка подозрительных ссылок и файлов на трояны, вредоносные программы, вирусы и черви.

Все подозрительные файлы были выкачены с сайта и добавлены в сервис анализа и вот какие результаты были получены:

анализ зараженного файла блога

Из 53 антивирусов 4 определило файл как вредоносный.

Все сомнительные файлы были незамедлительно удалены, далее была запрошена повторная проверка сайта на вирусы хостингом.

Только после положительного ответа, что вируса больше нет я перестал беспокоиться, но все равно каждый день мониторю файлы блога, на предмет появления левых.

Как защитить файлы сайта

В этом подразделе я хочу кратко перечислить несколько важных пунктов, которые следует в первую очередь сделать, чтобы вредоносные программы не беспокоили вас и ваших посетителей.

1) Проверьте файлы компьютера. В большинстве случаев корень зла исходит именно из железа, на котором мы привыкли работать.

Согласен, что у каждого стоит антивирусник, но как показывает практика, в большинстве случаев он не всегда найдет вирус.

Я специально скачал популярный софт CureIt, который бесплатно распространяет лаборатория Dr. Web взамен о предоставлении отчета о проверке.

После запуска он мне нашел пару троянов в системе, хотя ESET никогда на них не ругался.

проверка файлов компьютера CureIt

2) Проверьте файлы сайта скриптом. Если не уверены, что окончательно победили вирус, можете воспользоваться:

  • RWP Checker — бесплатный скрипт, для проверки WordPress шаблонов.
  • AI-Bolit — сканер файлов хостинга.
  • Manul — антивирус для сайта от Яндекс.

Отзывы только положительные.

3) Меняем логины и пароли. Обязательно стоит сменить все логины и пароли для доступа к сайту:

  • в админку (панель управления)
  • к файлам по FTP
  • к почтовому ящику (там могут быть пароли для доступа к хостингу)

Учтите, что пароли должны быть сложными не «12345», а «dvgp47GWud12N» или еще изощреннее.

4) Обновляем CMS и Plugins. Я в большей мере уверен, что дыра к сайту был в старой версии Вордпресс, так как я ее не обновлял длительное время.

Поэтому идем в административную панель блога и обновляем CMS до последней версии.

обновление WordPress

То же самое касается и плагинов, а если какие-то из них вы не используете или они лишние, то лучше их тоже удалить.

5) Не размещайте JS или Iframe баннеры. Есть такие хитрые рекламодатели, которые по разным причинам хотят купить у вас баннер, даже не в основном содержании статьи, но выводится он не как GIF или PNG картинка, а с помощью JS или Iframe кода.

В итоге на ваш мобильный трафик будет срабатывать редирект на левый сайт без вашего ведома, а в иных случаях может быть подгружено пользователям стороннее программное обеспечение.

На этом у меня все, буду рад узнать от своих читателей в комментариях, сталкивался ли кто с подобной заразой на подобии закодированного вредоносного код в php файлах.

И какими еще способами можно обезопасить сайт от постороннего посягательства, чтобы предотвратить заражение файлов?

seoslim.ru

Как защитить сайт от вирусов|Способы защиты

как защитить сайт от вирусов

Каждый год миллионы владельцев сайтов теряют кучу денег на восстановление взломанных сайтов. Хакеры применяют инновационные методы взлома различных ресурсов, как  не «подцепить» вирус на свой сайт? Читайте в этой статье.

Типы вирусов

Существует большое количество типов вирусов связанные с интернетом, но я выделил следующие:

  1. Вирус заражает компьютер и тайком выкачивает все возможные пароли.
  2. Вирус проникает в компьютер, крадет пароли от ваших веб-сайтов, после высылает их на специальный сервер. Этот сервер заходит с помощью украденных паролей на ваш сайт, ставит на него вредоносный код и распространяет вирусы в сети.
  3. Проводится DDOS-атака. То есть,  незаметно заражаются тысячи компьютеров и ждут сигнала от хакеров, после получения этого сигнала все зараженные (зомби, как на них еще говорят) начинают одновременно обращаться к какому-нибудь ресурсу, тот тем временем не справляется с такой нагрузкой и становится недоступным для обычных посетителей.

Существует еще огромное количество видов вирусов, но самые опасные из них это те, которые заражают сайты.

На это есть несколько причин:

Зараженный сайт становится угрозой для посетителей. А никто не будет покупать у той компании, сайт которой грозит безопасности компьютера.

Сайт становится менее посещаемым, так как поисковики быстро обнаруживают вирус и сообщают об этом в выдаче.

Если будете оттягивать с нахождением и удалением вируса, то сайт начнет резко падать в позициях.

Проверка сайта на вирусы

В интернете хватает множество способов проверить сайт на вирусы. Один из них – способ от яндекса. Во вкладке «Безопасность» посмотрите есть ли страницы с предупреждением о вредоносном коде, если таковые имеются тогда следует опасаться вируса на сайте.

Защита сайта от вирусов

  1. Разместите сайт на хостинге, который предоставляет услугу резервного копирования. Сейчас это популярная опция, поэтому таких хостингов более чем достаточно, она позволяет откатиться сайту на месяц назад, то есть в то время, когда вредоносного кода еще не было. Если таковой опции нету, то придется искать вирус вручную.
  2. Храните все пароли в безопасном месте! Никому не доверяйте и не в коем случае не говорите пароль от своего сайта или FTP. Пароль должен быть очень сложный, не – 12345site, а – <[email protected])$Tj или что-то в этом вроде.
  3. Установите на свой компьютер антивирусную программу, самыми популярными из них являются: Kaspersky Internet Security, avast!, NortonInternet Security, Comodo Internet Security. Все эти программы имеют встроенный файерволл, но если в вашем антивирусе такого не имеется то необходимо его скачать и установить, например: Agnitium Outpost Firewall
  4. Сделайте FTP-доступ по протоколу SSL.
  5. Не устанавливайте коды рекламных или партнерских программ, которые еще не зарекомендовали себя в интернете, возможно, что это мошеннический сайт, и с помощью вирусного кода он может открыть доступ к вашему сайту.

Похожие статьи:

web-biznes.net

Как защитить свой сайт от взлома хакеров, вирусов и других угроз ?

Здравствуйте !

Наболевшая тема: защита сайта от взлома, но как всегда актуальна, так как 80% пользователей не следуют элементарным правилам по безопасности своего сайта.

Вот краткий чек лист.

Безопасность сайта начинается с вашего пк или ноутбука ( с того устройства, которого регулярно заходите)

1. Установите платный антивирус, который регулярно обновляется

Не скачивайте взломанные антивирусы, вам никто не гарантирует надежную работу системы, если вы пользуетесь чьим то крякованным антивирусником.

платный антивирус

2. Не в коем случаи не храните пароли в браузерах

Все браузеры предлагают сохранять пароли, но это категорически не рекомендуется так как они легко взламываются программами которые предназначены для восстановления паролей.

не храните пароли в браузере

3. Сделайте уникальные пароли

сложные пароли

Всегда генерируйте пароли  к FTP доступу, админ панели вашего сайт, хостингу/серверу

Сгенерированные пароли сложно взламывать, так как они рандомные и нет в них логики,например:

Придумал человек: vas11ya85sept

Сделал генератор: [email protected]+w(14f3b(uSk

Вам всего лишь остается записать пароль в блокнот и сохранить на удаленном устройстве.

 

4. Для каждого сайта отдельный пароль

Обязательно сделайте разные пароли для каждого ресурса, не поленитесь и не делайте 1 пароль для всех сайтов.

разные пароли

5. Не пересылайте пароли без шифровки

Если вебмастер, фрилансер или сотрудник попросил пароль не в коем случае не отправляйте его вот так:

логин: marsianin

пароль: sdf546ds

или так

pass:

login:

Пароль должен быть зашифрован или в худой конец отправляться отдельно от логин

Ниже простой пример шифровки

декодирование пароля

Вот сайт http://base64.ru/ 

6. Храните пароли в надежном месте

На удаленном хранилище (внешний  ссд.хдд, флешке, листовой блокнот)

Не храните пароли на рабочем столе под названием

мои пароли

пароли

passwords

пассвордс

мои данные

важно

код

не храните пароли на рабочем столе

Регулярно, раз в месяц меняйте пароли всех аккаунтов !

 

7. Смените стандартный логин в админку

Зайдите в админ панель изменить профиль, добавьте нового пользователя ( с правами администратора) а старого пользователя удалите (админ)

изменить логин впрдпресс

изменить стандартный логин

Логин admin знает любой хакер и пользуется при взломах, многие либо не знают либо ленятся  менять стандартный логин admin

 

8. Измените путь в админ панель

Измените стандартный путь /wp-admin на другой  /vasyastasya879

 

9. Делайте бекапы

 

Делайте резервные копии ваших сайтов ежедневно и храните у себя на пк или на внешнем накопителе.

резервное копирование данных

Даже при сбое на сервере у вас будут свои копии сайтов

Также обязательным является рез копирование при внесении каких либо данных на сайте

10. Всегда обновляйтесь

Обновляйте регулярно движок сайта и плагины.

obnowlenie

Разработчики смотрят и изучают ошибки своих продуктов и вносят какие либо изменении для защиты, так что обновление до последней версии более чем важно для безопасности.

 

11. Скачивайте и устанавливайте с сайта разработчика

Темы/шаблоны, плагины и скрипты только с официальных репозиторий, а не с непонятных сайтов раздатчиков

 

12. Мониторинг сайта регулярно

Мониторинг сайта

Всегда следите за здоровьем вашего ресурса, для этого добавьте сайт в гугл и яндекс вебмастерс (они своевременно оповестят вас о каких либо проблемах)

 

13. Контролируйте все от и до

Контролируйте все действия, кто имеет доступ в админ-панель вашего сайта (сотрудники, фрилансеры), а также к внимательно смотрите на действия посетителей сайта.

14. Проверка чужими руками

проверка сайта чужими руками

Например если вы заказали какую либо доработку у чужого исполнителя и очень сильно сомневаетесь в качестве  *работы* или есть подозрения что он что то оставил после себя (вирус, скрипт для слежения) закажите проверку у другого специалиста (так как другой спец заинтересован чтобы найти баги или лазейки в правках, от этого же зависит его заработок)

Например 1 найденная ошибка стоит столько то и представьте себя насколько он будет заинтересован в поисках уязвимостей :)

Регулярно проверяйте сайт, вот классный сервис с отличной техподдержкой virusdie.ru (в переводе: сдохни вирус) 

 

Very bad! Bad Hmmm Oke Good!
0% 0% 0% 1.1% 2.1%
Логическая игра, включи ! "Поймай котенка". Задача: окружить кошечку точками так, чтобы он/она :) не смог убежать с поля боя. Не получилось с первого раза - начни игру заново!

1informer.com

Защита сайта от вирусов, шеллов и другого вредоносного кода — Highload и безопасность

Защита сайта от вирусов, шеллов, другого вредоносного кода не всегда организуется достойно. Стандартная базы знаний админов о безопасности мала и похожа на сборную солянку из мифовКаждый день, месяц в мире появляется новая версия вируса, шелла. Способы заражения становятся изощреннее.  Антивирусное ПО тоже модернизируется, обновляется, пытаясь обезопасить пользователей.

Чтобы угнаться за новостями в сфере безопасности нужно работать с вирусами каждый день.Защита сайта от вирусов, шеллов, вредоносного кода нужна не только коммерческим ресурсам. Порталы, блоги атакуются хакерами и заражаются вирусами не реже, чем сайты банковских систем и компаний.

Если рейтинги вашего портала резко упали, прежде всего проверьте сайт на вирусы. Платформы, содержащие в своем коде вредоносное ПО, маркируются поисковыми машинами, как потенциально опасные. Благоразумные пользователи Google и Yandex, получив сообщение о возможной угрозе заражения своего ПК, вряд ли станут посетителями вашего ресурса.

Люди не идут на сайт, конверсия падает. Для блогов и порталов это грозит утратой доверия.Если Гугл и Яндекс «пометили» ваш сайт как вредоносный, обратитесь к специалисту по информационной безопасности. Его задача очистить сайт от вирусов и залатать «дыры», через которые ваш сайт был заражен.

Шелл. Что за зверь?

Помимо вирусов на сайте могут быть шеллы (туда же отнесем бэкдоры) — они позволяют получать доступ к файлам и базе данных сайта в обход механизмов безопасности. Шелл может лежать на сайте годами и не мешать, пока его не начнут использовать.

WSO shell (шелл)шелл

Самое распространенное назначение шелла — добавить вирус на ваш сайт. Вирус может пытаться «сработать» на всех посетителях, или только на определенных — например, пользователей со старым firefox, или andriod. Критерии могут быть самыми разными:

RewriteCond %{HTTP_USER_AGENT} acs [NC,OR] RewriteCond %{HTTP_USER_AGENT} alav [NC,OR] RewriteCond %{HTTP_USER_AGENT} alca [NC,OR] RewriteCond %{HTTP_USER_AGENT} amoi [NC,OR] RewriteCond %{HTTP_USER_AGENT} audi [NC,OR] RewriteCond %{HTTP_USER_AGENT} aste [NC,OR] RewriteCond %{HTTP_USER_AGENT} avan [NC,OR] RewriteCond %{HTTP_USER_AGENT} benq [NC,OR] RewriteCond %{HTTP_USER_AGENT} bird [NC,OR] RewriteCond %{HTTP_USER_AGENT} blac [NC,OR] RewriteCond %{HTTP_USER_AGENT} blaz [NC,OR] RewriteCond %{HTTP_USER_AGENT} brew [NC,OR] RewriteCond %{HTTP_USER_AGENT} cell [NC,OR] RewriteCond %{HTTP_USER_AGENT} cldc [NC,OR] RewriteCond %{HTTP_USER_AGENT} cmd- [NC,OR] RewriteCond %{HTTP_USER_AGENT} dang [NC,OR] RewriteCond %{HTTP_USER_AGENT} doco [NC,OR] RewriteCond %{HTTP_USER_AGENT} eric [NC,OR] RewriteCond %{HTTP_USER_AGENT} hipt [NC,OR] RewriteCond %{HTTP_USER_AGENT} inno [NC,OR] RewriteCond %{HTTP_USER_AGENT} ipaq [NC,OR] RewriteCond %{HTTP_USER_AGENT} java [NC,OR] RewriteCond %{HTTP_USER_AGENT} jigs [NC,OR] RewriteCond %{HTTP_USER_AGENT} kddi [NC,OR] RewriteCond %{HTTP_USER_AGENT} keji [NC,OR] RewriteCond %{HTTP_USER_AGENT} leno [NC,OR] RewriteCond %{HTTP_USER_AGENT} lg-c [NC,OR] RewriteCond %{HTTP_USER_AGENT} lg-d [NC,OR] RewriteCond %{HTTP_USER_AGENT} lg-g [NC,OR] RewriteCond %{HTTP_USER_AGENT} lge- [NC,OR] RewriteCond %{HTTP_USER_AGENT} maui [NC,OR] RewriteCond %{HTTP_USER_AGENT} maxo [NC,OR] RewriteCond %{HTTP_USER_AGENT} midp [NC,OR] RewriteCond %{HTTP_USER_AGENT} mits [NC,OR] RewriteCond %{HTTP_USER_AGENT} mmef [NC,OR] RewriteCond %{HTTP_USER_AGENT} mobi [NC,OR] RewriteCond %{HTTP_USER_AGENT} mot- [NC,OR] RewriteCond %{HTTP_USER_AGENT} moto [NC,OR] RewriteCond %{HTTP_USER_AGENT} mwbp [NC,OR] RewriteCond %{HTTP_USER_AGENT} nec- [NC,OR] RewriteCond %{HTTP_USER_AGENT} newt [NC,OR] RewriteCond %{HTTP_USER_AGENT} noki [NC,OR] RewriteCond %{HTTP_USER_AGENT} opwv [NC,OR] RewriteCond %{HTTP_USER_AGENT} palm [NC,OR] RewriteCond %{HTTP_USER_AGENT} pana [NC,OR] RewriteCond %{HTTP_USER_AGENT} pant [NC,OR] RewriteCond %{HTTP_USER_AGENT} pdxg [NC,OR] RewriteCond %{HTTP_USER_AGENT} phil [NC,OR] RewriteCond %{HTTP_USER_AGENT} play [NC,OR] RewriteCond %{HTTP_USER_AGENT} pluc [NC,OR] RewriteCond %{HTTP_USER_AGENT} port [NC,OR] RewriteCond %{HTTP_USER_AGENT} prox [NC,OR] RewriteCond %{HTTP_USER_AGENT} qtek [NC,OR] RewriteCond %{HTTP_USER_AGENT} qwap [NC,OR] RewriteCond %{HTTP_USER_AGENT} sage [NC,OR] RewriteCond %{HTTP_USER_AGENT} sams [NC,OR] RewriteCond %{HTTP_USER_AGENT} sany [NC,OR] RewriteCond %{HTTP_USER_AGENT} sch- [NC,OR] RewriteCond %{HTTP_USER_AGENT} sec- [NC,OR] RewriteCond %{HTTP_USER_AGENT} send [NC,OR] RewriteCond %{HTTP_USER_AGENT} seri [NC,OR] RewriteCond %{HTTP_USER_AGENT} sgh- [NC,OR] RewriteCond %{HTTP_USER_AGENT} shar [NC,OR] RewriteCond %{HTTP_USER_AGENT} sie- [NC,OR] RewriteCond %{HTTP_USER_AGENT} siem [NC,OR] RewriteCond %{HTTP_USER_AGENT} smal [NC,OR] RewriteCond %{HTTP_USER_AGENT} smar [NC,OR] RewriteCond %{HTTP_USER_AGENT} sony [NC,OR] RewriteCond %{HTTP_USER_AGENT} sph- [NC,OR] RewriteCond %{HTTP_USER_AGENT} symb [NC,OR] RewriteCond %{HTTP_USER_AGENT} t-mo [NC,OR] RewriteCond %{HTTP_USER_AGENT} teli [NC,OR] RewriteCond %{HTTP_USER_AGENT} tim- [NC,OR] RewriteCond %{HTTP_USER_AGENT} tosh [NC,OR] RewriteCond %{HTTP_USER_AGENT} tsm- [NC,OR] RewriteCond %{HTTP_USER_AGENT} upg1 [NC,OR] RewriteCond %{HTTP_USER_AGENT} upsi [NC,OR] RewriteCond %{HTTP_USER_AGENT} vk-v [NC,OR] RewriteCond %{HTTP_USER_AGENT} voda [NC,OR] RewriteCond %{HTTP_USER_AGENT} w3cs [NC,OR] RewriteCond %{HTTP_USER_AGENT} wap- [NC,OR] RewriteCond %{HTTP_USER_AGENT} wapa [NC,OR] RewriteCond %{HTTP_USER_AGENT} wapi [NC,OR] RewriteCond %{HTTP_USER_AGENT} wapp [NC,OR] RewriteCond %{HTTP_USER_AGENT} wapr [NC,OR] RewriteCond %{HTTP_USER_AGENT} webc [NC,OR] RewriteCond %{HTTP_USER_AGENT} winw [NC,OR] RewriteCond %{HTTP_USER_AGENT} winw [NC,OR] RewriteCond %{HTTP_USER_AGENT} xda [NC,OR] RewriteCond %{HTTP_USER_AGENT} xda- [NC,OR] RewriteCond %{HTTP_USER_AGENT} up.browser [NC,OR] RewriteCond %{HTTP_USER_AGENT} up.link [NC,OR] RewriteCond %{HTTP_USER_AGENT} windows.ce [NC,OR] RewriteCond %{HTTP_USER_AGENT} iemobile [NC,OR] RewriteCond %{HTTP_USER_AGENT} mini [NC,OR] RewriteCond %{HTTP_USER_AGENT} mmp [NC,OR] RewriteCond %{HTTP_USER_AGENT} symbian [NC,OR] RewriteCond %{HTTP_USER_AGENT} midp [NC,OR] RewriteCond %{HTTP_USER_AGENT} wap [NC,OR] RewriteCond %{HTTP_USER_AGENT} phone [NC,OR] RewriteCond %{HTTP_USER_AGENT} ipad [NC,OR] RewriteCond %{HTTP_USER_AGENT} iphone [NC,OR] RewriteCond %{HTTP_USER_AGENT} iPad [NC,OR] RewriteCond %{HTTP_USER_AGENT} iPhone [NC,OR] RewriteCond %{HTTP_USER_AGENT} ipod [NC,OR] RewriteCond %{HTTP_USER_AGENT} iPod [NC,OR] RewriteCond %{HTTP_USER_AGENT} pocket [NC,OR] RewriteCond %{HTTP_USER_AGENT} mobile [NC,OR] RewriteCond %{HTTP_USER_AGENT} android [NC,OR] RewriteCond %{HTTP_USER_AGENT} Android [NC,OR] RewriteCond %{HTTP_USER_AGENT} pda [NC,OR] RewriteCond %{HTTP_USER_AGENT} PPC [NC,OR] RewriteCond %{HTTP_USER_AGENT} Series60 [NC,OR] RewriteCond %{HTTP_USER_AGENT} Opera.Mini [NC,OR] RewriteCond %{HTTP_USER_AGENT} Moby [NC,OR] RewriteCond %{HTTP_USER_AGENT} Mobi [NC,OR] RewriteCond %{HTTP_ACCEPT} "text/vnd.wap.wml|application/vnd.wap.xhtml+xml" [NC,OR] RewriteCond %{HTTP_USER_AGENT} !windows.nt [NC] RewriteCond %{HTTP_USER_AGENT} !bsd [NC] RewriteCond %{HTTP_USER_AGENT} !x11 [NC] RewriteCond %{HTTP_USER_AGENT} !unix [NC] RewriteCond %{HTTP_USER_AGENT} !macos [NC] RewriteCond %{HTTP_USER_AGENT} !macintosh [NC] RewriteCond %{HTTP_USER_AGENT} !playstation [NC] RewriteCond %{HTTP_USER_AGENT} !google [NC] RewriteCond %{HTTP_USER_AGENT} !yandex [NC] RewriteCond %{HTTP_USER_AGENT} !bot [NC] RewriteCond %{HTTP_USER_AGENT} !libwww [NC] RewriteCond %{HTTP_USER_AGENT} !msn [NC] RewriteCond %{HTTP_USER_AGENT} !america [NC] RewriteCond %{HTTP_USER_AGENT} !avant [NC] RewriteCond %{HTTP_USER_AGENT} !download [NC] RewriteCond %{HTTP_USER_AGENT} !fdm [NC] RewriteCond %{HTTP_USER_AGENT} !maui [NC] RewriteCond %{HTTP_USER_AGENT} !webmoney [NC] RewriteCond %{HTTP_USER_AGENT} !windows-media-player [NC] RewriteRule ^(.*)$ http://dietrussia.ru/ [L,R=302]

Это типичный вид заработка для хакеров на посещаемых сайтах. И прямой путь в «черный список» вашего сайта у поисковиков.

Через шелл могут рассылать с вашего сайта спам. Поисковики на это никак не реагируют, а вот хостер может отключить сайт или возможность отправки писем. Это лучше, потому что даст время на разбирательство.

Шелл может использовать ваш сайт для взлома других сайтов. Последствия схожи (хостер отключит), но опытный хакер может годами использовать шелл и не попадать в поле зрения тех, кто пожалуется хостеру.

Основные проблемы от вредоносного кода на сайте:

  • Попадание в «черный список» у поисковиков
  • Скачки нагрузки
  • Жалобы на ваш сайт хостеру

Где на сайте искать вредоносный код?

Обычно вредоносный код (шеллы, вирусы) внедряют в исполняемые файлы. Чаще всего речь идет о php или js файлах. Причем в js файлах могут быть только вирусы (шеллы здесь не живут). Если вы нашли вирус в js файле — у вас увели пароль и этот файл изменили, либо на сайте есть еще и шелл.

Встречаются вирусы и в базе данных, но реже, чем в файлах — гибкости меньше, обнаруживается проще. Обнаружили вирус в базе данных? У вас увели пароль, либо есть шелл.

Экзотические варианты — внедрение вируса в картинки или иной контент — встречается редко. Но если ваш контент заразили, значит помимо вируса есть на сайте и шелл.

Всё это кажется простым, но в практике каждого профессионала бывают моменты, когда надо импровизировать.

Бывает что шелла нет. А вирус есть. А еще есть «забытый» dumper или древний phpmyadmin. Или уязвимый timthumb. Или повышение привилегий в joomla. Что делать в этих случаях?

Читайте в следующем посте «Как искать вирусы на сайте».

security-gu.ru

защита от вирусов, взломов и DDoS-атак

Главная Безопасность сайта: защита от вирусов, взломов и DDoS-атак

Веб-серверы являются фундаментом Глобальной Сети Интернет. Их задача – бесперебойная работа онлайн сервисов и обеспечение доступа к информации. В силу своей «природной» интерактивности и открытости для обмена данными с пользователями и другими сервисами, они особенно уязвимы и требуют защиты.

Надежная защита web-ресурса — это необходимое условие для обеспечения безопасности бизнеса, конфиденциальных сведений, рабочих баз данных и сохранения репутации.

Интернет-агентство «Клевер» предлагает свои услуги по защите сайтов от вирусов, взломов и DDoS-атак, проводит профилактические работы по устранению уязвимых мест. А так же выполняет лечение сайтов и восстановление поврежденных данных.

Что мы имеем в виду, когда говорим о взломах, вирусах и атаках? Какие бывают угрозы?

DDoS атака – это хакерское воздействие на веб-узел с целью добиться невозможности его использования (Distributed Denial of Service — распределенная атака на отказ в обслуживании). Технически злоумышленник заваливает сервер запросами, которые либо забивают интернет канал, либо отнимают его ресурсы (процессорное время, оперативную или дисковую память).

Если атака удалась, то посетители не смогут зайти на сайт, а хозяева ресурса потеряют посещаемость и, как следствие, прибыль.

В отличие от взломов такие атаки не направлены на проникновение в систему и получение защищенных сведений. Основными причинами DDoS атак являются месть владельцу ресурса, шантаж или интерес начинающего хакера. Организовать атаки гораздо проще, чем взлом, и они активно применяются IT-вредителями.

Вирусом считают размещенный на сайте вредоносный код. Это могут быть изменения в коде HTTP сервера, СУБД или страниц сайта с подменой их задач.

Целью заражения сайта как правило являются либо перехват управления ресурсом, кража документов, персональных данных, либо распространение вируса на максимальное количество компьютеров для выполнения ими функций без участия пользователя. Примером может являться встраивание вредоносной программы в браузер для отображения целевой рекламы, либо же увеличение интернет траффика на выбранный интернет ресурс с помощью его искусственного перенаправления с зараженных компьютеров.

Появление вируса на ресурсе – это всегда последствие взлома.

Взлом сайта может быть выполнен множеством различных способов. Популярными методами зловредного проникновения на сайт являются:

  • Кража паролей. Злоумышленник перехватывает пароль администратора при его подключении к сайту. Для этого используется уже запущенный в систему троян или приложение – кейлоггер.
  • Подбор пароля от административной панели. От этого способа взлома часто страдают обладатели ресурсов, использующие ненадёжные пароли.
  • Слабые места сайта. Уязвимостями считаются открытые компоненты ресурса. Web-сервер состоит из нескольких уровней программного обеспечения. Это операционная система, HTTP сервер, SQL сервер, антивирус, собственно Web-сайт и прочие надстройки. Каждый из компонентов подвержен своим способам атак.
  • Не надежный хостинг. Различают несколько его видов. «Общий выделенный хостинг» является наиболее распространенным и бюджетным. На одном сервере размещается несколько Web-сайтов, поэтому при заражении одного сайта вирус распространяется на всех посетителей сервера. В случае когда под каждый сайт используется отдельный сервер, хостинг называется «Выделенным». Если сервер является виртуальным (несколько операционных систем на одном физическом сервере), то эта разновидность хостинга носит название «Виртуальный выделенный хостинг». Последний вид представляется наиболее приемлемым в соотношении безопасности и экономической целесообразности.

Полезные советы по защите ресурса

Система защиты строится из отдельных элементов и организуется с учетом нескольких принципов, главным из которых становится баланс между функциональностью сайта и допустимым уровнем открытости ресурса.

Другими словами, чтобы свести к минимуму число путей проникновения и взлома для злоумышленников, необходимо максимально снизить возможность внесения изменений пользователем на сайте:

  • При размещении на хостинге необходимо отключить учетную запись «по-умолчанию», а в новой вручную назначить минимально необходимые права.
  • Пароль администратора должен быть надежен. Для его генерации рекомендуется применять специальные менеджеры, создающие комбинированные коды из букв разных регистров и цифр в произвольном порядке.
  • Круг лиц, имеющих доступ к учетной записи, должен быть ограничен до минимума.
  • Для подключения к сайту нужно использовать только безопасные протоколы.
  • Системные функции на хостинге по-возможности должны быть отключены, а сайты — максимально изолированы.
  • Файлы и каталоги, размещенные на сайте, должны быть предназначены только для чтения.
  • Выполнение скриптов в каталогах загрузки необходимо запретить.
  • При установке должны быть отключены все не используемые компоненты. Любой компонент несет с собой отдельную угрозу; чем их больше, тем выше суммарный риск.

Кроме того, уязвимости всегда присутствуют в программном обеспечении. Производители ПО ведут постоянную работу по выявлению слабых мест и регулярно выпускают обновления, которые их ликвидируют. Своевременная установка обновлений систем безопасности для операционной системы, приложений и антивирусного пакета не даст использовать уязвимость системы безопасности до того, как она будет закрыта.

Использование антивирусного ПО является обязательным требованием к любому Web-серверу с любой программной платформой. Это один из самых эффективных способов защиты от угроз безопасности. При отсутствии качественного антивирусного пакета уязвимость системы безопасности может долгое время оставаться незамеченной.

И, конечно не стоит забывать о том, что есть компании, профессионально занимающиеся защитой сайтов от взломов, вирусов и хакерских атак.

Лечение сайтов от вирусов и их защита от взлома – одна из профильных областей деятельности компании «Клевер». Профессиональная команда оперативно ликвидирует источник проблемы, удалит зловредные скрипты, устранит редирект и спам, восстановит данные. Мы комплексно подходим к вопросам безопасности и защитим Ваш бизнес. Каждый владелец\руководитель бизнеса должен понимать, что даже кратковременный простой сайта может привести к потере клиентов и репутации не только в глазах клиентов, но и с точки зрения поисковых систем. А это может негативно сказаться на посещаемости ресурса в долговременной перспективе.

clever-as.ru

Заблуждения про безопасность сайтов и советы по усилению защиты

Невежественность в области информационной безопасности — обычное дело. Среди владельцев и администраторов сайтов лишь небольшой процент знаком с основными принципами безопасности и защиты, подавляющее же большинство «не ведают, что творят».

Ежедневно в Revisium мы получаем запросы на лечение и защиту сайта от неопытных владельцев и администраторов, которым приходится объяснять, каким образом защищать сайты, что и как делать, а порой переубеждать в том, что их текущая политика безопасности сайта не работает. Ниже в статье мы собрали типичные заблуждения владельцев сайтов и правильное решение проблем.

Авторы данных утверждений полагают, что если антивирус поисковой системы, или другой механизм определения вирусов перестал считать сайт вредоносным, то сайт действительно «чистый», и проблема волшебным образом сама собой разрешилась.

Увы, в подавляющем большинстве случаев это не так. Если на сайте появляются вирусы, они являются следствием взлома сайта, эккаунта хостинга или кражи/перехвата ftp доступов. Следом за взломом сайта следует загрузка хакерских скриптов (шеллов, бэкдоров), с помощью которых хакер осуществляет контроль над сайтом (вставляет вредоносный код в шаблоны, скрипты или базу данных). Если вирус перестал детектироваться антивирусом, это означает, что в настоящий момент антивирус не нашел вредоносный код на страницах сайта, но это не означает, что вместе с вредоносным кодом вируса исчезли хакерские скрипты. Сайт по-прежнему остается взломанным и в любой момент вирус снова может появиться на страницах сайта.

Часто вредоносный код размещается на сайте в автоматическом режиме по расписанию или на определенное время. Поэтому могут появляться «мигающие» порно-ссылки, исчезающий вирусный код или мобильный редирект, а поисковые системы (Яндекс, Гугл) то добавляют, то удаляют сайт из списка вредоносных. Поэтому, если сайт был с клеймом «сайт может угрожать безопасности вашего компьютера или мобильного устройства», а затем без лечения снова стал «чистым», это верный признак взлома сайта и автоматического размещения вредоносного кода. Сайт нужно лечить и защищать.

Если лечение сайта выполняется не специалистом, то велика вероятность только частичной очистки хакерских «закладок» и скриптов (бэкдоров, шеллов), и, как следствие, хакер снова сможет получить контроль над сайтом и внедрять в него вредоносный код.

Правильное решение — просканировать сайт на наличие вредоносных скриптов и вирусов, удалить все хакерские скрипты, бэкдоры, шеллы с сайта, вирусы javascript и мобильные редиректы, обновить cms, закрыть уязвимости и установить защиту от взлома. Только после этого можно с уверенностью считать сайт «чистым» и защищенным.

Существует несколько типов вредоносного кода:

  1. троянские программы, вирусы, руткиты
  2. хакерские шеллы, бэкдоры
  3. дорвеи
  4. спам-рассыльщики и пр.

Разработчики антивирусного ПО (Касперский, Dr. Web, Avast, McAfee и пр) уделяют основное внимание вредоносному коду на PC и серверным решениям, а хакерские шеллы, дорвеи и вирусы в скриптах сайта попадают в антивирусную базу достаточно редко и только самые популярные.

Поэтому лечение сайта с помощью PC антивирусов (Касперского, Dr. Web) не эффективно, в лучшем случае найдутся только очень старые шеллы, наподобие WSO, а бОльшая часть вредоносного кода все равно останется на сайте.

Для сканирования вредоносного кода в скриптах сайта нужно использовать специализированное ПО:

  1. сканнер AI-BOLIT (revisium.com/ai/)
  2. сканнер LMD (http://www.rfxn.com/projects/linux-malware-detect/)

Для сканирования вирусного кода на страницах сайта или мобильного редиректа используйте специализированные сервисы:

  1. Sucuri (http://sitecheck.sucuri.net/scanner/)
  2. Virustotal (https://www.virustotal.com/#url)

Часто заражение сайта происходит через FTP. Доступ от FTP ворует троянская программа, которая работает на компьютере администратора сайта. Троян может перехватывать подключение по FTP протоколу, либо сканировать известные FTP клиенты на наличие сохраненного эккаунта (хост, логин, пароль). Украденные пароли передаются в автоматическом режиме злоумышленнику или боту, который использует их для заражения сайта.

Если на компьютере постоянно работает антивирус с проактивной защитой и регулярно обновляемыми базами, вероятность заражения вирусами и троянскими программами ниже, чем без антивируса. Но нужно учитывать, что антивирус не защищает компьютер на 100% от вирусов, так как разработчики антивируса обычно на шаг позади вирусописателей. Сначала появляется вирус, затем он детектируется специалистами антивирусной лаборатории и только после анализа добавляется в базу антивируса. Может пройти достаточно много времени, прежде чем вирусная сигнатура появится в базе антивируса на компьютере. До этого момента компьютер остается уязвимым к данному вирусу и может им заразиться.

Кроме того, существуют решения обхода антивирусной защиты, различные шифровальщики и packer’ы, которыми обрабатываются троянские программы и вирусы, и которые позволяют оставаться невидимыми для антивирусного программного обеспечения.

Поэтому для безопасной работы на компьютере необходимо:

  1. устанавливать антивирусное программное обеспечение с регулярно-обновляемыми базами вирусных сигнатур и проактивной защитой
  2. регулярно обновлять базы антивируса
  3. раз в две недели или раз в месяц выполнять полное сканирование компьютера. За это время компьютер может успеть заразиться неизвестным трояном или вирусом, который не будет детектироваться проактивной защитой, но после очередного обновления антивирусной базы данных может быть найдет.
  4. раз в месяц выполнять полную проверку всех рабочих компьютеров альтернативным антивирусом (например, если установлен Касперский, просканировать Dr. WebCureIt!) и наоборот.

Для безопасной работы с сайтом по FTP:

  1. раз в неделю (или месяц) меняйте пароли от FTP
  2. не сохраняйте пароли в FTP клиенте или браузере (да, это неудобно, но безопасность не бывает удобной!)
  3. используйте протокол SFTP вместо FTP. Для этого хостинг должен поддерживать SSH подключение
  4. блокируйте на хостинге FTP, когда он вам не нужен

Часто работа с сайтом ведется несколькими специалистами одновременно: программистом, администратором, seo. Если хотя бы у одного из этих специалистов на компьютере есть троян с вирусом, то сайт в опасности. Поэтому рекомендуем выдавать каждому пользователю отдельный FTPэккаунт, регулярно менять пароли и блокировать эккаунт по окончании работы.

Основной способ взлома сайтов и источник появления вредоносного кода — это уязвимости в скриптах. Если на сайте появился вредоносный код и вирусы, значит сайт был взломан, на него загрузили бэкдоры или хакерские шеллы, после чего в автоматическом (реже в ручном) режиме злоумышленники разместили вирусный код.

Если удалить вирусы и хакерские скрипты, но не закрыть уязвимости, через которые сайт был взломан, и не установить защиту, сайт тем же путем будет взломан повторно.

Самый простой способ закрытия уязвимостей — установка обновлений CMS и патчей. Поэтому рекомендуем регулярно обновлять скрипты или CMS вашего сайта, чтобы снизить вероятность взлома.

Способ для опытных пользователей — установить защиту на сайте средствами операционной системы (изменить настройки php, установить безопасные права на файлы и папки, настроить доступ к каталогам и скриптам в .htaccess файлах). Данные меры значительно затруднят, а в некоторых случаях сделают невозможной эксплуатацию уязвимостей. То есть сайт будет защищен от взлома.

Если на админ-панель установлен сложный и длинный пароль, это очень хорошо и защищает сайт от атаки с помощью подбора паролей (брутфорс). Также хорошо, если на сайте установлены дополнительные плагины безопасности, которые изменяют стандартный процесс авторизации и отслеживают активности в панели администратора.

Но для того, чтобы попасть в панель админа, совсем не обязательно знать пароль администратора. Часто хакеры добавляют нового администратора напрямую в базу данных, используя уязвимости в скриптах (SQL иньекции), в результате чего получают полный контроль над сайтом. Поэтому мы рекомендуем регулярно обновлять CMS для устранения подобных уязвимостей и обязательно защищать админ-панель сайта средствами веб-сервера. Смотрите статью «как защитить панель администратора от взлома» (//revisium.com/kb/secure_adminpanel.html)

Увы, это не так. Во-первых, хакеры могут изменить атрибуты файлов и каталогов, разрешив в них запись с помощью команд php (например, chmod) или вызвав команды операционной системы (system(‘chmod ..’), или аналогичные через exec, passthru, popen,...). Во-вторых, если в директорию (например, public_html) разрешена запись, можно прочитать файл, удалить его и создать новый с нужным содержимым.

Поэтому, кроме изменения атрибутов на файлы и папки, нужно запрещать системные вызовы и chmod. Следует учитывать, что для некоторых плагинов и CMS данные функции должны быть доступны, поэтому отключение приведет к ошибкам в работе сайта.

revisium.com

Как защитить сайт от взлома хакерами?

Даже если Ваш сайт не несет коммерческой ценности и является, к примеру, просто онлайн-дневником он по-прежнему может стать жертвой взлома. Ну, скажем,  для организации спам-рассылки. Причем даже не факт, что будет взламываться персонально Ваш ресурс. В сети существует огромное множество скриптов просто серфящих по интернету и взламывающих сайты с типичными «дырами» в безопасности.

Основные приемы защиты сайта от взлома

  1. Регулярно обновляйте используемое Вами ПО. Причем это касается не только CMS на которой функционирует сайт, а и версии браузера с которой его администрируют, и версии антивирусного ПО стоящей на компьютере администратора сайта.
  2. Используйте параметризованные SQL запросы. Один из распространенных видов хакерской атаки в сети это SQL-инъекции. Он заключается в том, что варьируя параметры URL строки можно управлять данными, из БД сайта. Рассмотрим как хакер может добавить дополнительный SQL запрос. Имеется код запроса: "SELECT * FROM table WHERE column = '" + parameter + "';" Выполним замену URL параметра на ‘ OR ’1′ = ’1 и получаем на ровном месте дополнительный запрос к БД. "SELECT * FROM table WHERE column = '' OR '1'='1';" Параметризованные запросы способны избавить вас от этой проблемы.
  3. Всегда проверяйте и удаляйте сторонние вставки в HTML коде сайта. Как пример можно рассмотреть мета-тег следующего содержания. <meta http-equiv="refresh" content="5;url=<?=$_GET['url']?>"></meta>При занесении в этот тег заместо get переменной кода http://localhost/?url=»><script>alert(«XSS»)</script><!- мы получаем... XSS–атаку (запускает вредоносный код направленный на посетителей сайта).
  4. Не давайте лишней информации в сообщениях об ошибке на сайте. Примером подобной ошибки может служить уточнение что именно введено не верно (логин или пароль) при авторизации пользователя на сайте. Зачем упрощать работу взломщику оповещая его о том, какая именно из переменных авторизации неверна? Банального оповещения о том, что введено не верно логин ИЛИ пароль более чем достаточно.
  5. Ограничивайте количество возможных отправок формы за определенный промежуток времени. Можно сделать так, чтобы в случае неверного ввода логина или пароля на сайте после трех попыток пришлось ждать пару часиков до следующих трех попыток авторизации на сайте.
  6. Ставьте проверку вводимых данных в формах. Причем проверяйте данные не только на стороне браузера, но и на стороне сервера, поскольку проверку формы на стороне клиента (в браузере) порой можно довольно просто обойти, к примеру отключив исполнение джаваскриптов.
  7. Уже устал о этом говорить везде, где только возможно, но используйте комбинированные, длинные, сложные пароли. Об этом знают или подозревают все, но вот пользуются пожалуй избранные единицы. Теперь по-порядку. Под «комбинированным» паролем я понимаю пароль состоящий из цифр и букв различных регистров. Под «длинным» пароль содержащий более 8 символов. Под «сложным» то, что это все должно быть перемешано между собой и, в идеале, не должно нести в себе смысла.
  8. Пароли на сайте должны храниться в зашифрованном виде. Способов зашифровать пароли более чем достаточно. Типичный пример в этом плане алгорим SHA. Применяя этот метод мы можем обезопасить себя от того, что хакер сумевший скачать данные паролей пользователей сможет ими воспользоваться, поскольку они будут содержаться в зашифрованном виде. Думаю Вас обрадует тот факт, что в большинстве современных CMS пароли шифруются по-умолчанию.
  9. Если у Вас есть возможность- запретите пользователям грузить файлы на сайт. Исключением не является даже  банальная смена аватара на странице пользователя, то всегда есть риск, что подгружаемый файл может содержать скрипт исполняемый на стороне сервера. И проверка файла по MIME типу ни от чего нас не спасает. Его элементарно можно подделать, а в раздел комментариев (да, его поддерживает большинство форматов картинок) можно добавить вредоносный исполняемый PHP код. Что же делать? В первую очередь запретить исполнение файла (выставляем права CHMOD 0666 ). Также в файл .htaccess можно добавить код запрещающий исполнение файлов с двойным расширением: deny from all <Files ~ "^\w+\.(gif|jpe?g|png)$"> order deny,allow allow from all </Files>
  10. Проследите за безопасностью сервера. Если Вы используете качественный хостинг, то его администрация сама обеспечит безопасность серверной части сайта. Если же вы настраиваете его самостоятельно, то проверьте работоспособность firewall, обеспечьте доступ к 443 и 80 портам через демилитаризованную зону DMZ, используйте только защищенные методы загрузки файлов на срвер (SFTP или SSH).
  11. Пользуйтесь SSL протоколом для безопасной передачи данных в интернете. Если вы не используете защищенную передачу данных, то хакеры могут получить доступ к передаваемым Вами данным.
  12. Периодически самостоятельно проверяйте свой ресурс на наличие уязвимостей. Есть множество продуктов способных облегчить Вам данную задачу. Так, Netsparker прогонит сайт по SQL и XSS атакам, а OpenVAS и вовсе включает в себя проверку сайта на примерно 25000 различных видов уязвимостей. Жаль только, что для его использования нужно наличие соответствующего ПО и на стороне сервера.

Оценок: 2 (средняя 5 из 5)

vaden-pro.ru