Мой сайт взломан :: Что мне теперь делать?

Опубликовано: 2014-12-11

Hacked Website

Итак, вас взломали! Хорошо, ты здесь не один; это происходит со многими владельцами веб-сайтов, поскольку взломанные веб-сайты становятся все более распространенными. Недавние отраслевые отчеты указывают на тревожный факт, что более 70% веб-сайтов имеют серьезные недостатки в системе безопасности. Если это не произошло прямо сейчас, это может произойти в ближайшем будущем; или у вас могут быть хакеры, посещающие ваш сайт, чтобы найти лазейки, чтобы взломать его когда-нибудь.

Поэтому для веб-мастеров важно принять все возможные меры предосторожности, а не быть легкой добычей для хакеров. Но что, если вас уже взломали? Прочтите эту статью, чтобы узнать, как это происходит, и какие действия вы должны предпринять, чтобы снова запустить свой веб-сайт.

Как я узнаю, что меня взломали?

Не требуется никаких специальных навыков, чтобы определить, что вас взломали. Вы просматриваете свой сайт, как каждый день, и обнаруживаете, что ваш сайт испорчен. ИЛИ Самый распространенный из них; когда ваш веб-сайт заменяется страницей с черным фоном и имеет большой символ и сообщение «Взломано какой-то_группой_название».

Во многих случаях вас перенаправляют на неприятные веб-сайты, такие как порнографические или фармацевтические веб-страницы. Если вы столкнулись с чем-либо из вышеперечисленного, очевидно, что вас взломали. Некоторые умные хакеры не хотят, чтобы вы знали, что ваш сайт взломан. Они не могут испортить вашу веб-страницу яркими баннерами и логотипами. Вместо этого они предпочитают, чтобы вы не знали об этом, поэтому они могут использовать ваш веб-сайт столько, сколько могут, для осуществления злонамеренных намерений.

В настоящее время черные SEO-хакеры проводят спам-кампании, чтобы рекламировать интернет-магазины, которые продают дешевые «точные копии» популярных брендов класса люкс. В основном метод остается тем же, но эти дорвеи иногда оптимизируются в соответствии с последними событиями и фестивалями. т.е. ссылки для Рождества будут чем-то вроде «Рождественские скидки louis Vuitton» .

Как правило, такие ссылки ведут на главную страницу зараженного сайта. Эти скомпрометированные веб-сайты могут иметь блок скрытых спам-ссылок в нижней части HTML-кода, например:

Website Doorway

Вы также можете искать свой сайт в Google или Bing, например;

site:yourdomain.com любое спам-слово …….ie site:mywebsite.com дешево

Если поисковая система перечисляет какие-то необычные веб-страницы со спамными ссылками, вы должны быть взломаны какими-то паразитами. В таких случаях вы можете сканировать свой сайт с помощью Sucuri SiteCheck и Unmask Parasites.

Вместо того, чтобы обсуждать, давайте кратко перечислим признаки, указывающие на то, что вас взломали.

  • Браузеры указывают, что ваш сайт может быть взломан.
  • Страница вашего веб-сайта по умолчанию заменена какой-то яркой страницей.
  • Ваш веб-сайт перенаправляет на некоторые оскорбительные веб-страницы.
  • Поисковые системы уведомляют вас о том, что ваш сайт содержит вредоносное содержимое.
  • Вы замечаете какие-то странные веб-страницы или какой-то необычный код в коде сайта.
  • Если вы не можете войти в административные области, даже используя правильные учетные данные, или вы оказались заблокированными.

Каковы возможные причины этого взлома?

Сайт можно взломать разными способами. Ниже приведены некоторые распространенные методы, которые хакеры используют для взлома Интернета:

  • Подбор пароля или социальная инженерия
  • Подбор логина и пароля методом перебора.
  • Возьмите под свой контроль внутреннюю панель инструментов в CMS, такой как WordPress, с помощью SQL-инъекций.
  • Внедрите вредоносное ПО на локальный компьютер, чтобы получить ваши учетные данные для входа.
  • Поиск уязвимости безопасности в конкретном программном обеспечении, обновлении, плагине, теме и его использование.
  • Внедрение оболочек через небезопасные страницы загрузки на веб-сервере для получения контроля над всем сервером.
  • Взлом чужого веб-сайта, который находится на том же общем сервере, который вы используете для своего веб-сайта.

Какие действия предпринять после взлома?

Сканировать локальный компьютер на наличие вирусов и вредоносных программ

Чтобы найти виновника, начните с вашей локальной системы. Вполне возможно, что источник заражения начинается на вашей локальной машине. Поэтому установите хороший антивирус и запустите полное сканирование, чтобы убедиться, что ваша локальная система не заражена вредоносными программами, шпионскими программами, троянами и т. д. Перед запуском полного сканирования убедитесь, что ваше антивирусное программное обеспечение обновлено. с последними определениями. Для Windows мы рекомендуем Microsoft Security Essentials, так как он обеспечивает защиту от новейших угроз в режиме реального времени.

Изменить все пароли

Измените пароли для всех пользователей и всех учетных записей, например, FTP-доступа, учетных записей панели управления, учетной записи администратора, учетных записей авторизации системы управления контентом. Проверьте список учетных записей пользователей вашего веб-сайта и убедитесь, что хакер не создал новую учетную запись пользователя. Если вы обнаружили какие-либо неизвестные учетные записи, запишите их для дальнейшего расследования. Затем немедленно удалите эти учетные записи, чтобы предотвратить вход хакера в будущем.

Переведите свой сайт в автономный режим

Если вас уже взломали, предотвратите заражение других пользователей своим веб-сайтом и не допускайте дальнейшего злоупотребления системой со стороны хакеров. Как только вы узнаете, что вас взломали, немедленно отключите свой сайт. Сделайте резервную копию файлов зараженного веб-сайта и базы данных MySQL, переименуйте папку как взломанную резервную копию. Таким образом, вы можете исследовать их позже на досуге или восстановить их, если ваша попытка очистки не удалась.

Немедленно свяжитесь с вашим веб-хостингом

Если вы используете общий хост, свяжитесь с вашим веб-хостингом, чтобы определить, затронул ли этот взлом другие веб-сайты на том же сервере. Спросите их, есть ли у них хорошая копия резервной копии вашей базы данных и файлов веб-сайта. Если у них есть ваша резервная копия, скажите им защитить ее, прежде чем она будет перезаписана. Если у вас есть чистая резервная копия ваших файлов в вашей локальной системе, рассмотрите возможность восстановления из этой резервной копии.

Очистка веб-контента и расследование после взлома

Теперь откройте ранее взломанную папку резервной копии для анализа после взлома. Во-первых, просмотрите папки веб-контента, файлы и время их модификации. Подготовьте список недавно измененных папок/файлов и проверьте, вставлен ли какой-либо новый файл в измененную папку, и укажите, какие изменения были сделаны в измененных файлах.

Если вы видите какой-либо вредоносный код, вставленный в файлы или любой файл, который не принадлежит вашему веб-сайту, удалите/исправьте их. Вы также можете запустить полное сканирование веб-файлов с помощью обновленного антивирусного/вредоносного программного обеспечения. Исправьте код или поместите его в карантин, если это возможно, или рассмотрите возможность восстановления из хорошей доступной резервной копии.

Запишите отметку времени, когда эти файлы были взломаны. Это поможет вам сузить поиск по журналу. Копание журналов является основным расследованием любого инцидента взлома, но для этого требуется доступ с правами администратора. Если у вас есть административный доступ к системе, вы можете проверить средство просмотра событий (Windows) или любые соответствующие журналы для дальнейшего изучения. Поиск повторяющихся неудачных попыток авторизации или журналов FTP с неизвестных IP-адресов.

Если у вас была страница загрузки на вашем веб-сайте без какой-либо проверки файлов и капчи, это может быть виновником. Проверьте путь загрузки, если туда вставлены сценарии оболочки или вредоносный код. Проверьте список учетных записей пользователей, если вы обнаружили какую-либо неизвестную учетную запись, немедленно отключите ее и найдите ее недавние действия в журналах.

Проверьте файл .htaccess, индексные файлы или любые дополнительные страницы по умолчанию, чтобы убедиться в отсутствии злонамеренных перенаправлений или кода злого умысла. Если вы ведете блог WordPress, проверьте каталог wp-content/themes, ориентируясь на index.php, header.php, footer.php и functions.php.

Наиболее распространенными причинами взломов являются плохой код, устаревшие и небезопасные скрипты, плагины, темы, небезопасные страницы загрузки. Поэтому, чтобы предотвратить это снова, вы должны обратиться к этим всем возможным виновникам.

Вывод

Существует множество способов взлома и методов расследования; приведенный выше список похож на верхушку айсберга. Первым шагом, который необходимо предпринять в случае любого взлома, является обращение к хостинг-провайдеру. Обычно они занимают наилучшие позиции для выполнения большей части тяжелой технической работы за вас. Взлом веб-сайта — это не весело, поэтому сохраняйте спокойствие и свяжитесь со службой поддержки, чтобы он заработал как можно скорее.