Что делать, если сайт взломан?

Что делать, если сайт взломан?

23 января 2017
Многие владельцы сайтов сталкиваются со взломом их сайтов - это огромная проблема как для владельца сайта, так и для хостинг-компании, где размещен сайт. В этой статье мы рассмотрим действия, которые необходимо предпринять при заражении Вашего сайта.

Статья рассчитана на людей, которые впервые сталкиваются с проблемой и используют распространенные системы управления сайтами.

Начнем с профилактических действий, которые необходимы для того, чтобы Ваш сайт имел наименьший риск заражения:

  1. Ваша система управления сайтом должна быть последней версии и поддерживаться разработчиками (получать обновления), если поддержка прекратилась или версия системы не последняя, обновите её до последней версии (перед обновлением системы управления сайтом, убедитесь в том, чтобы Ваши плагины и используемая тема сайта были совместимы с новой версией).
  2. Старайтесь использовать популярные проверенные плагины с официальных сайтов разработчиков (категорически не стоит использовать платные плагины, которые Вы скачаете бесплатно с сайта отличного от официального сайта разработчика). Все плагины должны регулярно обновляться и быть последней версии.
  3. При использовании оформлений (тем) сайта найденных в интернете, проверяйте о них отзывы и проверяйте их код, очень часто в них встраивают зловредный код, через который на Вашем сайте будет показываться реклама или производиться иные действия (со временем этот же код может быть использован злоумышленниками для взлома Вашего сайта). Если выходит новая версия оформления сайта, старайтесь её устанавливать, так как это может быть не просто оформление стилей, скриптов и изображений, но и обновление PHP файлов, в которых может содержаться обновление безопасности.
  4. Для минимизации рисков взлома, рекомендуем удалять с сайта неиспользуемые плагины и темы сайта (несмотря на то, что они неактивны, они могут использоваться злоумышленниками для взлома сайта).
  5. Установите плагин, который будет наблюдать и фиксировать изменения в файлах сайта. Например, для систем управления сайтами WordPress, есть плагин Wordfence Security, данный плагин следит за файлами системы управления сайтом и уведомляет в случае обнаружения изменений в них - это позволяет оперативно обнаружить заражение сайта и предпринять меры.
  6. Регулярно делайте резервные копии и храните их на отдельном сервере или скачивайте к себе на компьютер. Они пригодятся не только для восстановления в случае заражения, но и в случае простой поломки сайта.

Исходя из описанного: основной залог безопасности сайта - это регулярное обновление системы управления сайтом, плагинов и используемой темы.

Как взламывают сайты и для чего это делают? В большинстве случаев сайты взламывают через публичные уязвимости в системах управления сайтами, плагинах, темах и очень редко из-за проблем безопасности в программном обеспечении со стороны хостинг провайдера.

Злоумышленники обычно имеют набор уязвимостей, которые используют в ходе поиска сайтов. Обнаружив сайт, содержащий уязвимость в каком-либо из компонентов, злоумышленник загружает зловредные файлы или модифицирует существующие с целью произведения почтовых рассылок (спам), сканирования и заражения других сайтов, создания сети для атак сайтов, размещения рекламы или переадресации пользователей на мошеннические ресурсы (это самые часто встречающиеся последствия заражения сайтов).

Взлом через программное обеспечение хостинг провайдера в наше время практически исключен, так как предоставляемые панели управления (DirectAdmin, Cpanel, ISPmanager, VestaCP и прочие) настраивают программное обеспечение так, что пользователи изолированы друг от друга. Помимо этого, многие хостинг провайдеры применяют дополнительные меры для повышения безопасности клиентов (например, использование виртуальной файловой системы CageFS от CloudLinux).

Как определить, что сайт взломан? Взлом сайта может быть, как бессимптомным, так и сопровождаться ранее описанными последствиями заражения (произведение почтовых рассылок (спам), сканирование и заражения других сайтов, создание сети для атак сайтов, размещение рекламы или переадресация пользователей на мошеннические ресурсы). Основной признак заражения - это модификация файлов сайта или же обнаружение неизвестных Вам файлов.

В следствии этого, для оперативного реагирования необходимо следить за состоянием файлов, как советовали ранее, используйте для этого специализированные плагины для Вашей системы управления сайтами (например, Wordfence Security для WordPress).

Что делать, если сайт взломали? Первое, что необходимо сделать - это очистить сайт от зараженных файлов. Самый надежный способ очистки сайта от зловредного кода - это восстановление данных из чистой резервной копии (перед восстановлением убедитесь, что файлы в резервной копии не заражены). Если резервной копии нет или она оказалась заражена, то необходимо очистить сайт от зловредных сайтов с помощью специализированного программного обеспечения.

Для поиска зараженных файлов рекомендуем воспользоваться бесплатным решением AI-Bolit от компании "Ревизиум". Выполнять сканирование необходимо из командной строки (инструкция на сайте компании), но это доступно только на тарифах с SSH (профессиональная линейка тарифов). Начинающим пользователям мы рекомендуем скачивать все файлы на свой компьютер и выполнять сканирование с помощью программы для Windows по подробной инструкции на сайте разработчиков. В ходе сканирования можете столкнуться с различными сложностями, многие из них разобраны в разделе часто задаваемых вопросов на сайте компании "Ревизиум".

Второе, что можем порекомендовать - это сервис VirusDie от компании "Вирусдай". Сервис платный, но имеет бесплатный тестовый период в 1 день. По личным оценкам, он находит больше зараженных файлов, чем утилита от компании "Ревизиум". Есть Вам не хватило времени тестового периода, то есть одна хитрость - Вы можете зарегистрироваться на англоязычной версии сервиса, в нём тестовый период составляет 14 дней.

После произведения чистки сайта рекомендуем сделать резервную копию сайта, так как указанные сервисы не всегда полностью очищают от зловредных сайтов. В дальнейшем, если зловредная активность остается, необходимо изучать журналы веб сервера и смотреть, куда производились запросы в момент создания или изменения зловредных файлов. Файлы, к которым производились обращения обычно содержат зловредный код, Вам его необходимо очистить в резервной копии и восстановить из неё файлы сайта (это важно, так как при обращении к зловредным файлам могли создать новые файлы, через которые будут в дальнейшем производить заражение сайта и зловредную активность). Данные операции рекомендуем выполнять опытным пользователям.

Об антивирусах. Проверка антивирусами для компьютера не даст никакого результата, данные антивирусы не заточены под поиск заражений в PHP файлах, если они и находят заражения, то в очень малом количестве (поиск основан не основе анализа кода, а на сравнении хешей файлов).

Со своей стороны, мы ежедневно проверяем сайты с помощью антивирусов ClamAV и
Linux Malware Detect, уведомляя владельцев о найденных зловредных файлах. Linux Malware Detect содержит большую базу сигнатур зараженных файлов.

Модуль защиты LiteShield. В начале 2017 года для всех версий PHP был подключен модуль защиты LiteShield, он используется для блокировки части функций и работы почты на зараженных аккаунтах.


С помощью данного модуля можно заблокировать выполнение eval или отдельных функций в нём, заблокировать отдельные функции, ограничить подключаемые пути в include или require, вывести информацию по блокировкам в файл и отключить модификатор "\e" в preg_replace.

Ниже представляем Вам набор правил, которые можно прописать в файл .htaccess. Данные правила отключают большинство опасных функций, которые используются в зловредных скриптах, ограничивают работу почты (если это не требуется, уберите функцию mail из списка). При использовании данных правил, на последних версиях (на момент написания статьи) распространенных систем управления сайтами не наблюдается никаких проблем в их работе.