Как вылечить сайт

Опасный код

ПоискИногда нам приходиться лечить заражённые сайты, которые были взломаны неизвестными злоумышленниками. Некоторый опыт, накопленный за 4 года данной практики, мы решили выложить на странице данной статьи.

Аналитика заражения

ПоискВ самом начале мы смотрим на возможные пути с потенциальными уязвимостями. Как правило, это могут быть слабые пароли от панели администратора системы управления сайтом, FTP, SSH и СУБД пароли.

Как могут украсть пароль?

1Существует несколько способов: брутфорс, при котором происходит перебор наиболее распространённых вариантов. Существует база данных паролей от 1 000 до 1 000 000 вариантов. Эти базы собираются на основе уже скомпрометированных паролей.

2Ещё один способ – это использование вредоносного ПО и разнообразных троянских и шпионских утилит, расшифровывающих и отправляющих пароли на сервер или почту злоумышленника. Один из представителей – скандально известный «Pinch».

3Если от перебора паролей можно защититься установкой более надёжного варианта, а от вредоносного ПО – используя антивирус, то когда дело касается профессионального взлома, общих рекомендаций быть не может.

4Иногда мы находим вредоносный код в счётчиках от сомнительных партнёрских программ. В данном случае очень желательно их удалить или заменить на более предпочтительные аналоги: LiveInternet, Яндекс.Метрика.

Не так давно (12 ноября 2013 года) хакеры похитили 860 000 логинов и паролей при атаке на Apple-форум «MacRumos». Что здесь можно посоветовать? Постараться выбрать надёжный хостинг и использовать проверенные официальные (не пиратские) CMS.

Как найти вредоносный код на сайте?

Можно воспользоваться сервисом от Яндекса. Перейдите в панель вебмастера, нажмите на своём сайте для просмотра общей информации о сайте. Далее обратите внимание на элемент «Безопасность».

Безопасность

Нажмите на нём и подождите, пока робот Яндекса будет анализировать код страницы. Результат отобразиться через несколько секунд после начала.

Если вредоносный код не был найден, но Вы знаете, что он присутствует в теле самого «движка», можно попробовать обновить версию CMS на новую версию или переустановить её (если обновление отсутствует).

Это решает проблему в 1 из 10 случаев, когда инжект был сделан из-за уязвимости в самой системе управления сайтом.

15.11.2013