Не так давно поломали один из сайтов, которым занимаюсь в данное время — и поисковое продвижение и дорабатываю помаленьку.
И всё это буквально через месяц после моего небольшого цикла статей
- Защита сайта от взлома. Продолжение. Июнь 20th, 2010 (17)
- Защита сайта от взлома Июнь 7th, 2010 (18)
Прямо практически «поставили на место» ! 🙂 Тем не менее считаю, что любой опыт даже не совсем приятный является бесценным!
Никогда не находился в роли следователя взлома сайта — вот оно случилось.
Итак, о случившемся и о последствиях произошедшего более подробно:
Благополучно ушел я в отпуск в конце июля, соответственно на все дела подзабил — «отдохнул» пару недель — вышел и с удивлением обнаружил на вышеуказанном СДЛ продаваемые ссылочки — разобрали как внутряки, так и морду (видимо хакер не жадный попался — слил рекламные места по-дешевке).
Хакер аккуратненько подправил php вьюшку подножия (движек сайта самописный — php фреймворк code igniter — сейчас уже осознаю, что все дефолтные подключаемые папки нужно переименовывать — в моём случае System на что нить другое) плюс воткнул в корень непосредственно папочку с скриптом сапы и кэшеш ссылок.
В моём распоряжении оказались только эти созданные и правленые файлы и дата их модификации.
Сразу после обнаружения взлома, я запросил у хостера логи доступа к сайту по протоколам ssh и ftp — всё быстро предоставили, но там ничего интересного я не нашел. Хостер ещё меня приятно удивил тем, что сообщил мне о найденном ими моём же веб-шелле (это я баловался когда предыдущие статейки писал) с предположением взлома через этот шелл.
Этот вариант показался мне очень маловероятным, тем не менее я проверил логи http доступа за предположительные дни взлома — доступа к шеллу не было.
Имхо остался один вариант взлома — взлом «по-соседству». Т.е. ломанул хакер с того же сервера, воспользовавшись неверно выставленными правами в файловой системе (а они у меня были) — правда вопрос как он нашел — имена были нетривиальны, доступа с http к этим папкам не было, никаких ссылок тоже…
Короче хреновый из меня следователь вышел 🙁
Ну и конечно стукнул в Сапу — подтвердил право на сайт, запросил личные данные хакера и попросил блокирнуть его аккаунт — но после прочтения форума понял, что ловить нечего — хакеры «ходят» в админку через прокси, мыла фрихи, кошельки разовые.
По последствиям: Яндек (падла такая) конечно же не оставил без внимания наличие продаваемых ссылок на ресурсе, что практически сразу отрицательно сказалось на позициях в выдаче и целевом трафике 🙁 После устранения последствий прошло уже 3 апа — Яша назад не поднимает…
Выводы:
Ещё в сотый раз — аккуратнее с безопасностью !
В первую свою статейку по безопасности дописал ещё пару пунктов.
На днях ожидайте скрипты: поиска шеллов, проверку файловой структуры на «плохие» права и контроль изменения в файлах.
13 комментариев на «“Поломали мой сайт — последствия и выводы”»
Если так все серьезно… то какие меры нужно предпринять против хацкеров подскажите??
Самописные движки полны всяких дыр и недоработок. Если CSM над которой трудится целая команда разработчиков постоянно ищет и устраняет уязвимости, то у самописных движков такого нет. Вывод. Тебя ломанули скорее всего из-за какого-то пропущенного бага. Может регистр глобалс не отключил или в самом скрипте что-то…
Безопасность сайта должна быть на 1 месте. Спасибо автору интересная статья
Хакеры иногда идут на такие уловки, что даже сложно предугадать их действия и можно попасться на мелочи
Был у меня тоже один сайтец, его ломали два раза. Первый раз снесли форум. Второй раз оставили надпись на главной — что сайт взломан и номер аськи. Я написал им в аську — они деньги требовать начали. Я сменил пароль от ftp и Cpanel и отказал им. И ничего, сайт до сих пор стоит)
О, знакомая тема! У меня тоже недавно взломали. Увели пароли от фтп и понакидали кучу вирусни. Работал робот, поэтому справился с проблемой быстро. Пришлось восстанавливать из бэкапа все 5 сайтов на том хостинге, ибо вирус оказался на всех них. А проявилась гадость так — при попытке зайти на зараженный сайт на компе автоматически запускался Адоб Акробат. А потом и Фаерфокс стал ругаться на сайты, показывая красный экран. Гугл даже успел занести сайты в черный список и пометить их как зараженные.
Вот я как раз тоже занимаюсь программным обеспечением для защиты компьютера, а сайт как и свой железный друг должен всегда быть готов к хакерским атакам
Спасибо за посты «Защита сайта от взлома». В тонкостях программирования не так разбираюсь, но многое взял на заметку.
Вывод — никакие супер сложные пароли не помогут если есть «дыры» в коде. Ну и профи может взломать любой самый защищенный сайт.
На сколько просели позиции в выдаче сайта в яндексе? сильно много ссылок продавалось с поломанного сайта?
[…] 5 лет тому назад. Последней каплей сподвинувшей стал взлом одного из моих сайтиков, в результате чего сильно попадали […]
У меня 100 сайтов для SAPE. Хостинг заказал здесь: http://abcname.com.ua Активировал пакет для реселлера — получилось по 0.2 цента за сайт. Советую 🙂
Прошёл через это пару месяцев назад. Вручную вычищал три сайта,каждый файлик,убил уйму времени.Никому не желаю.
Любой опыт, позитивный или негативный, бесценен. Спасибо за статью, поучительно!