Что делать, если ваш сайт взломали

Что делать, если ваш сайт взломали
JayaDigital

Что делать, если ваш сайт взломали

Атаки хакеров угрожают сайтам любых размеров, от массивных предприятий до небольших семейных бизнесов. И когда такая атака все же случается, хозяину сайта необходимо предпринять ряд важных шагов, дабы остановить вторжение, очистить сайт и вернуться к нормальному ходу работы.

Взлом вашего сайта – это довольно неприятное, да еще и часто дорогостоящее, переживание. Но любой предприниматель способен справиться с этой проблемой при помощи небольшого планирования и помощи извне. Помните, что взлом довольно редко направлен именно против вас. Чаще всего это просто использование открывшейся уязвимости. Какой-нибудь злоумышленник пишет скрипт, который выискивает определённую конфигурацию сайта, а когда находит, использует известную уязвимость в этой конфигурации для взлома.

Попросите помощи у своего разработчика, хостинг-провайдера или других организаций

Многие малые и средние онлайн-магазины пользуются услугами хостингов с хорошей репутацией, например, Firehost, Media Temple, и Rackspace. Эти провайдеры очень часто обладают своим штатом экспертов по безопасности, снабженных инструментами для анализа и выявления зловредного кода и спама.

Поэтому при подозрении на взлом тут же свяжитесь с вашим хостинг-провайдером.

Если у вас в штате есть свой программист (или вы постоянно пользуетесь услугами одного и того же программиста-фрилансера), хорошей идеей будет подключить и его. Хотя такой специалист вряд ли будет экспертом в информационной безопасности, но он/она все равно смогут немало помочь в деле выявления фрагментов зловредного кода. Например, один из самых распространённых видов взлома, который использует загружаемые изображения для поиска уязвимого кода, может быть обнаружен командой поиска на сервере с Linux:

<code>

find . -type f -iname "*.php" -exec egrep "eval(base65_decode" {} /dev/null \;

</code>

Также помощь можно найти на форумах и организациях, посвящённых защите от хакерских атак и вирусов. Например, попробуйте специализированный форум Google, или сайт Stop Badware.

Уйдите в оффлайн

Если ваш сайт был взломан, в первую очередь вам нужно защитить своих клиентов, иначе вы рискуете своей репутацией и положением в поисковых системах.

Хотя это звучит, как крайняя мера, на самом деле временное отключение сайта – очень правильный поступок. Многие хорошие платформы электронной коммерции и публикации предоставляют возможность временного отключения сайта, например, для техобслуживания.  Например, добавление простого текстового файла с названием “maintenance.flag” в корень сайта переведет весь сайт в режим проверки, и пользователи увидят 503 ошибку при попытке доступа. Узнайте, как сделать нечто похожее для вашей платформы, и отключайте сайт, лишая хакера возможности нанести еще больше вреда.

Также будет весьма полезным изменить сообщение о 503 ошибке под себя. Скажем, добавьте телефонный номер, чтобы клиенты могли позвонить и задать свои вопросы, пока сайт недоступен. Или даже выложите скидочные купоны, которыми можно будет воспользоваться сразу после того, как сайт придет в норму.

Поменяйте все пароли

Скорее всего, на ваш сайт проникли не при помощи взломанного пароля. Но в любом случае, следует сменить все административные пароли, просто чтобы исключить такую возможность.

Также это даст вам возможность изучить аккаунты пользователей на предмет уязвимостей.

Ищите симптомы

По мере того, как вы будете изучать ущерб, нанесенный взломом и пытаться понять, как убрать опасный код, очень рекомендуется поискать симптомы вашей проблемы на поисковиках типа Google или Bing, или на специализированных форумах, таких как упомянутый выше Stop Badware.

Например, если ваш сайт внезапно начал перенаправлять пользователей, или хотя бы поисковых ботов на сайты, продающие, скажем, фармацевтику, ищите именно такой симптом. Такой поиск может выявить похожие случаи, и в разы сократить время на анализ и чистку.

Вычистите сайт

При помощи вашего программиста или провайдера, вы скорее всего сможете найти файлы с добавленным вредоносным кодом. Теперь необходимо вычистить этот код – вручную, или скриптом.

Иногда бывает необходимо установить свежую версию вашей платформы, вручную проверить все папки плагинов и обновить каждый используемый инструмент.

Попробуйте выяснить способ атаки

Хотя иногда бывает крайне трудно узнать, как именно произошла атака, все же не помешает определить «вектор атаки» (путь, который использовал хакер, дабы получить доступ к вашему сайту), так как это поможет вам защититься от будущих атак.

Атака, которую мы представили в примере (с перенаправлением на фармацевтику), зачастую использует уязвимости в плагинах WordPress или в системе загрузке изображений на сайт, так что убедитесь, что у вас установлены самые последние версии WordPress и плагинов.

Улучшите свой сайт

Атака на ваш сайт может служить неплохой проверкой того, насколько ответственно вы и ваша организация подходит к вопросам безопасности и управления сайтом. После чистки, не забудьте предпринять необходимые шаги, дабы удостоверится, что подобная атака не сможет повториться. Также, установите инструменты и приложения, которые помогают справиться со взломами и их последствиями.

Если ваш сайт управляется при помощи систем наподобие Git или SVN, то полная и надежная чистка может быть выполнена простой публикацией последней версии сайта из хранилища.  Или можно легко обнаружить опасный код, проведя сравнение между текущей версией и версией из хранилища.

 

Источник: http://www.practicalecommerce.com