.
12 августа 2010

Поломали мой сайт — последствия и выводы

posted in SEO, Разное |

hacked

Не так давно поломали один из сайтов, которым занимаюсь в данное время — и поисковое продвижение и дорабатываю помаленьку.

И всё это буквально через месяц после моего небольшого цикла статей

Прямо практически «поставили на место» ! :) Тем не менее считаю, что любой опыт даже не совсем приятный является бесценным!

Никогда не находился в роли следователя взлома сайта — вот оно случилось.

Итак, о случившемся и о последствиях произошедшего более подробно:

Благополучно ушел я в отпуск в конце июля, соответственно на все дела подзабил — «отдохнул» пару недель — вышел и с удивлением обнаружил на вышеуказанном СДЛ продаваемые ссылочки — разобрали как внутряки, так и морду (видимо хакер не жадный попался — слил рекламные места по-дешевке).

Хакер аккуратненько подправил php вьюшку подножия (движек сайта самописный — php фреймворк code igniter — сейчас уже осознаю, что все дефолтные подключаемые папки нужно переименовывать — в моём случае System на что нить другое) плюс воткнул в корень непосредственно папочку с скриптом сапы и кэшеш ссылок.

В моём распоряжении оказались только эти созданные и правленые файлы и дата их модификации.

Сразу после обнаружения взлома, я запросил у хостера логи доступа к сайту по протоколам ssh и ftp — всё быстро предоставили, но там ничего интересного я не нашел. Хостер ещё меня приятно удивил тем, что сообщил мне о найденном ими моём же веб-шелле (это я баловался когда предыдущие статейки писал) с предположением взлома через этот шелл.

Этот вариант показался мне очень маловероятным, тем не менее я проверил логи http доступа за предположительные дни взлома — доступа к шеллу не было.

Имхо остался один вариант взлома — взлом «по-соседству». Т.е. ломанул хакер с того же сервера, воспользовавшись неверно выставленными правами в файловой системе (а они у меня были) — правда вопрос как он нашел — имена были нетривиальны, доступа с http к этим папкам не было, никаких ссылок тоже...

Короче хреновый из меня следователь вышел :(

Ну и конечно стукнул в Сапу — подтвердил право на сайт, запросил личные данные хакера и попросил блокирнуть его аккаунт — но после прочтения форума понял, что ловить нечего — хакеры «ходят» в админку через прокси, мыла фрихи, кошельки разовые.

По последствиям: Яндек (падла такая) конечно же не оставил без внимания наличие продаваемых ссылок на ресурсе, что практически сразу отрицательно сказалось на позициях в выдаче и целевом трафике  :(  После устранения последствий прошло уже 3 апа — Яша назад не поднимает...

Выводы:

Ещё в сотый раз — аккуратнее с безопасностью !

В первую свою статейку по безопасности дописал ещё пару пунктов.

На днях ожидайте скрипты: поиска шеллов, проверку файловой структуры на «плохие» права и контроль изменения в файлах.

Яндекс.Метрика