Взлом сайта

Взлом сайта

Да-да, как вы уже, наверное, догадались из названия статьи, сегодня произошло нечто ужасное – сегодня впервые за несколько лет я столкнулся с проблемой связанной с безопасностью своих самописных сайтов. Все мои сайты были взломаны!

Откровенно говоря, я до сих пор так и не понял, каким именно образом это произошло, тем не менее, спустя всего несколько минут я нашёл взломанные файлы и благополучно изменил их содержимое. Хотя, наверное, давайте обо всём по порядку.

Сегодня вечером включаю компьютер и вижу, что в моём почтовом информере весит одно новое уведомление – пришло письмо от Яндекс Вебмастер. Заголовок этого сообщения меня сразу слегка ошарашил - на сайте обнаружен потенциально опасный код. Наверное, стоит отметить, что аналогичное уведомление я увидел и на панели Вебмастера, в которую я зашел, что бы подробнее почитать о взломе сайта.


На сайте обнаружен вредоносный код

Что я делаю в первую очередь? Первым делом, даже ещё не дочитав текст сообщения до конца, я открываю сайт, что бы убедиться в его работоспособности и вижу, что всё нормально работает – вроде всё как всегда.

Текст сообщения о том, что в настоящий момент сайт выводится в результатах поиска  с пометкой «Этот сайт может угрожать безопасности вашего компьютера» тоже не давал мне покоя, и я поспешил проверить эту информацию.

Вот как выглядел мой сайт в результатах поисковой выдачи после взлома.


Взломанный сайт в результатах поисковой выдачи

А если попытаться зайти на сайт через браузер Mozilla Firefox, сразу же появлялось вот такое предупреждение.


Предупреждение

Я ещё раз проверил все файлики и снова не нашёл ничего подозрительного. Убедившись, что мой сайт не взломали, я подумал о том что, возможно, это какая-то ошибка. С этой мыслью я решил дочитать присланное мне сообщение до конца, с целью отправить грамотно сформулированный ответ, и тут я наткнулся на что-то интересное.

В тексте письма было несколько ссылок, перейдя по которым я увидел какое-то предупреждение о том, что вирус был обнаружен благодаря поведенчискому анализу в статье про покупку Prestigio MultiPhone PAP4505 DUO, и там же было что-то сказано о мобильном редиректе.

Я взял в руки свой смартфон и как только я зашёл на сайт, меня тут же перекинуло на страницу с сообщением о том, что надо обновить флеш плеер (Flash Player). Так-так, всё-таки Яндекс ничего не напутал и мой сайт действительно взломали. Теперь при входе с мобильного устройства, каждый раз происходило перенаправление на подставной сайт, который заверяет в том, что вам необходимо отправить SMS для получения обновлений, чего естественно делать нельзя ни в коем случае.

Вот как выглядела эта страница на экране моего мобильного устройства.


Взлом сайта - мобильный редирект

В моей практике бывали случаи, когда клиенты, прежде чем обратиться за помощью к специалистам отправляли требуемые СМС сообщения, что в результате давало возможность снимать с их счёта мобильного телефона довольно неплохие деньги. Поэтому в таких случаях я советую быть предельно внимательными, ведь взлом сайта это ещё полбеды, а дальше уже всё зависит от вас и вашей неосторожности. К слову, одному из людей которые отправили такое сообщение пришлось заплатить за него порядка 80 долларов, естественно ничего не получив взамен.

Ладно, поехали дальше. Теперь, зная, как работает мобильный редирект, я вспомнил о том, что для перенаправления посетителей на нужную страницу можно использовать специальный файл .htaccess который я и поспешил проверить.

Бинго – прямо в цель. Открыв файл, я сразу увидел в самом его начале несколько строк неизвестного мне кода, который, отвечал за взлом сайта и вышеупомянутый мобильный редирект.


Вредоносный код

Поправив содержимое файла .htaccess я обнаружил, что взломан не только мой блог, но и все мои другие проекты, находящиеся на одном и том же хостинге.

Я поправил взломанный код во всех файлах, установил дополнительную защиту для файла .htaccess и «попросил» поисковую систему Яндекс ещё раз проверить мой сайт на наличие вредоносного кода.

Пока я ждал результатов, решил что, наверное, было бы неплохо поменять везде пароли для  доступа к сайтам и FTP аккаунтам, получив доступ к которым злоумышленники могли взломать сайт и провернуть своё чёрное дело.

Помимо всего прочего я решил на всякий случай связаться со службой поддержки своего хостинг провайдера и попытаться хоть как-то прояснить ситуацию. Учитывая, что неделю назад были проблемы с доступностью сайта и DoS-атакой на хостинг, не исключено что все проблемы и взлом сайта были именно из-за этого.

Само собой хостер не стал брать на себя ответственность, и пояснил, что вероятнее всего этот взлом был произведён через уязвимость в сайте и порекомендовал мне следовать указаниям из следующей инструкции:


  1. Проверить все компьютеры, которые имеют доступ к Вашему FTP-аккаунту, на наличие вирусов.
  2. Сменить пароль на все FTP-аккаунты в панели управления.
  3. Исследовать контент аккаунта на наличие чужого кода/файлов.
  4. В случае невозможности впоследствии исправить ущерб контенту и/или базе данных(если оный имеет место быть), нанесенный вирусом, необходимо заказать восстановление данных аккаунта из панели управления (бэкап данных доступен за последние 7 дней с текущего момента).
  5. Обновить программное обеспечение, на котором работают Ваши сайты (в случае, если это какой-либо готовый движок).
  6. Устранить возможные дыры в ПО, обслуживающем Ваш сайт (в случае, если сайты обслуживаются самописным кодом).

Несмотря на то, что я нашёл точку взлома, я решил ещё раз проверить все файлы сайта, и в очередной раз, убедившись, что в их содержимом не произошло каких-либо изменений, я лёг спать. А сегодня с утра увидел, что мой сайт уже не угрожает безопасности и прошёл очередную проверку Яндексом.


Успешная проверка сайта - вирусов нет

Главное что мне удалось устранить последствия взлома сайта и сейчас у меня всё хорошо.
Вот такой вот необычный случай.

11.08.2013
Комментарии
Никита [10kilogramm]
21.03.2016 в 18:24
Джамал, нет, злоумышленника тогда я не нашёл, ди и не искал в принципе. Зато тогда я нашёл "дырку" на своём сайте и благополучно её залатал. С того времени проблем с редиректом больше не наблюдалось.
Джамал
21.03.2016 в 17:51
Никита,Вы собираетесь вообще найти взломщика и засудить его?Ведь он может подкинуть другой файл.Я на Вас не давлю,но всё же рекомендую его найти и засудить,в противном случае Вам капз*а)
Никита [10kilogramm]
12.08.2013 в 15:26
Эмрис, зло или не зло судить можно только после того как попробуешь. Мне повезло и я смог немного заработать на форексе, не рискуя собственными деньгами - потрачено было только моё время.

Относительно того часто я проигрываю или нет ответить однозначно не получится. Хотя если так на вскидку, то проиграл я не так много по сравнению с тем что удалось заработать.

Аськи нету, есть Skype. Если хотите обменяться контактами - пишите на мой e-mail (он есть в разделе контакты).
Эмрис
12.08.2013 в 15:16
Я читал что форекс зло и там можно сильно попасть:) Вы часто проигрываете? У вас есть ICQ?)
Никита [10kilogramm]
12.08.2013 в 14:37
Эмрис, торгую уже больше 2х лет. Моя первая сделка принесла мне чуть больше 9 долларов. Через месяц я совершил сделку и вывел ещё 40 баксов, при том что своих денег не вложил ни цента.
Эмрис
12.08.2013 в 13:02
Вы долго учились зарабатывать на Форекс?)
Никита [10kilogramm]
11.08.2013 в 15:54
Здравствуйте, Никита!

Последняя проверка сайта 11 Августа 2013 не выявила страниц, содержащих вредоносный код. В результатах поиска сайт выводится без пометок.
Оставить комментарий





Автор блога
Алексеенко Никита - автор блога
Алексеенко Никита
Возраст: 29 лет Деятельность: Блогер, программист, повар, фотограф, трейдер Интересы: Спорт, музыка, путешествия
Читать подробное досье
Обмен денег в Интернете Обмены по самому выгодному курсу с минимальной комиссией. bestchange.ru
Хостинг для сайта Надёжный и недорогой хостинг, для Вашего сайта или блога. hostland.ru
Чеки от Google AdSense Рекомендую обналичивать именно здесь. Быстро и удобно. epayservices.com
Форум трейдеров MT5 Здесь платят за каждое сообщение до 30 рублей. mt5.com
Надёжный форекс брокер Торгую и зарабатываю на InstaForex уже более 5 лет. instaforex.com
Заработок на кликах Самый лёгкий способ. Заработай свои первые деньги в интернете. seosprint.net
Яндекс.Метрика