Взлом сайта

Да-да, как вы уже, наверное, догадались из названия статьи, сегодня произошло нечто ужасное – сегодня впервые за несколько лет я столкнулся с проблемой связанной с безопасностью своих самописных сайтов. Все мои сайты были взломаны!

Откровенно говоря, я до сих пор так и не понял, каким именно образом это произошло, тем не менее, спустя всего несколько минут я нашёл взломанные файлы и благополучно изменил их содержимое. Хотя, наверное, давайте обо всём по порядку.

Сегодня вечером включаю компьютер и вижу, что в моём почтовом информере весит одно новое уведомление – пришло письмо от Яндекс Вебмастер. Заголовок этого сообщения меня сразу слегка ошарашил - на сайте обнаружен потенциально опасный код. Наверное, стоит отметить, что аналогичное уведомление я увидел и на панели Вебмастера, в которую я зашел, что бы подробнее почитать о взломе сайта.

Что я делаю в первую очередь? Первым делом, даже ещё не дочитав текст сообщения до конца, я открываю сайт, что бы убедиться в его работоспособности и вижу, что всё нормально работает – вроде всё как всегда.

Текст сообщения о том, что в настоящий момент сайт выводится в результатах поиска  с пометкой «Этот сайт может угрожать безопасности вашего компьютера» тоже не давал мне покоя, и я поспешил проверить эту информацию.

Вот как выглядел мой сайт в результатах поисковой выдачи после взлома.

А если попытаться зайти на сайт через браузер Mozilla Firefox, сразу же появлялось вот такое предупреждение.

Я ещё раз проверил все файлики и снова не нашёл ничего подозрительного. Убедившись, что мой сайт не взломали, я подумал о том что, возможно, это какая-то ошибка. С этой мыслью я решил дочитать присланное мне сообщение до конца, с целью отправить грамотно сформулированный ответ, и тут я наткнулся на что-то интересное.

В тексте письма было несколько ссылок, перейдя по которым я увидел какое-то предупреждение о том, что вирус был обнаружен благодаря поведенчискому анализу в статье про покупку Prestigio MultiPhone PAP4505 DUO, и там же было что-то сказано о мобильном редиректе.

Я взял в руки свой смартфон и как только я зашёл на сайт, меня тут же перекинуло на страницу с сообщением о том, что надо обновить флеш плеер (Flash Player). Так-так, всё-таки Яндекс ничего не напутал и мой сайт действительно взломали. Теперь при входе с мобильного устройства, каждый раз происходило перенаправление на подставной сайт, который заверяет в том, что вам необходимо отправить SMS для получения обновлений, чего естественно делать нельзя ни в коем случае.

Вот как выглядела эта страница на экране моего мобильного устройства.

В моей практике бывали случаи, когда клиенты, прежде чем обратиться за помощью к специалистам отправляли требуемые СМС сообщения, что в результате давало возможность снимать с их счёта мобильного телефона довольно неплохие деньги. Поэтому в таких случаях я советую быть предельно внимательными, ведь взлом сайта это ещё полбеды, а дальше уже всё зависит от вас и вашей неосторожности. К слову, одному из людей которые отправили такое сообщение пришлось заплатить за него порядка 80 долларов, естественно ничего не получив взамен.

Ладно, поехали дальше. Теперь, зная, как работает мобильный редирект, я вспомнил о том, что для перенаправления посетителей на нужную страницу можно использовать специальный файл .htaccess который я и поспешил проверить.

Бинго – прямо в цель. Открыв файл, я сразу увидел в самом его начале несколько строк неизвестного мне кода, который, отвечал за взлом сайта и вышеупомянутый мобильный редирект.

Поправив содержимое файла .htaccess я обнаружил, что взломан не только мой блог, но и все мои другие проекты, находящиеся на одном и том же хостинге.

Я поправил взломанный код во всех файлах, установил дополнительную защиту для файла .htaccess и «попросил» поисковую систему Яндекс ещё раз проверить мой сайт на наличие вредоносного кода.

Пока я ждал результатов, решил что, наверное, было бы неплохо поменять везде пароли для  доступа к сайтам и FTP аккаунтам, получив доступ к которым злоумышленники могли взломать сайт и провернуть своё чёрное дело.

Помимо всего прочего я решил на всякий случай связаться со службой поддержки своего хостинг провайдера и попытаться хоть как-то прояснить ситуацию. Учитывая, что неделю назад были проблемы с доступностью сайта и DoS-атакой на хостинг, не исключено что все проблемы и взлом сайта были именно из-за этого.

Само собой хостер не стал брать на себя ответственность, и пояснил, что вероятнее всего этот взлом был произведён через уязвимость в сайте и порекомендовал мне следовать указаниям из следующей инструкции:

1. Проверить все компьютеры, которые имеют доступ к Вашему FTP-аккаунту, на наличие вирусов.
2. Сменить пароль на все FTP-аккаунты в панели управления.
3. Исследовать контент аккаунта на наличие чужого кода/файлов.
4. В случае невозможности впоследствии исправить ущерб контенту и/или базе данных(если оный имеет место быть), нанесенный вирусом, необходимо заказать восстановление данных аккаунта из панели управления (бэкап данных доступен за последние 7 дней с текущего момента).
5. Обновить программное обеспечение, на котором работают Ваши сайты (в случае, если это какой-либо готовый движок).
6. Устранить возможные дыры в ПО, обслуживающем Ваш сайт (в случае, если сайты обслуживаются самописным кодом).

Несмотря на то, что я нашёл точку взлома, я решил ещё раз проверить все файлы сайта, и в очередной раз, убедившись, что в их содержимом не произошло каких-либо изменений, я лёг спать. А сегодня с утра увидел, что мой сайт уже не угрожает безопасности и прошёл очередную проверку Яндексом.

Главное что мне удалось устранить последствия взлома сайта и сейчас у меня всё хорошо.
Вот такой вот необычный случай.