Поломали мой сайт — последствия и выводы
posted in SEO, Разное |Не так давно поломали один из сайтов, которым занимаюсь в данное время — и поисковое продвижение и дорабатываю помаленьку.
И всё это буквально через месяц после моего небольшого цикла статей
- Защита сайта от взлома. Продолжение. Июнь 20th, 2010 (17)
- Защита сайта от взлома Июнь 7th, 2010 (18)
Прямо практически «поставили на место» ! 🙂 Тем не менее считаю, что любой опыт даже не совсем приятный является бесценным!
Никогда не находился в роли следователя взлома сайта — вот оно случилось.
Итак, о случившемся и о последствиях произошедшего более подробно:
Благополучно ушел я в отпуск в конце июля, соответственно на все дела подзабил — «отдохнул» пару недель — вышел и с удивлением обнаружил на вышеуказанном СДЛ продаваемые ссылочки — разобрали как внутряки, так и морду (видимо хакер не жадный попался — слил рекламные места по-дешевке).
Хакер аккуратненько подправил php вьюшку подножия (движек сайта самописный — php фреймворк code igniter — сейчас уже осознаю, что все дефолтные подключаемые папки нужно переименовывать — в моём случае System на что нить другое) плюс воткнул в корень непосредственно папочку с скриптом сапы и кэшеш ссылок.
В моём распоряжении оказались только эти созданные и правленые файлы и дата их модификации.
Сразу после обнаружения взлома, я запросил у хостера логи доступа к сайту по протоколам ssh и ftp — всё быстро предоставили, но там ничего интересного я не нашел. Хостер ещё меня приятно удивил тем, что сообщил мне о найденном ими моём же веб-шелле (это я баловался когда предыдущие статейки писал) с предположением взлома через этот шелл.
Этот вариант показался мне очень маловероятным, тем не менее я проверил логи http доступа за предположительные дни взлома — доступа к шеллу не было.
Имхо остался один вариант взлома — взлом «по-соседству». Т.е. ломанул хакер с того же сервера, воспользовавшись неверно выставленными правами в файловой системе (а они у меня были) — правда вопрос как он нашел — имена были нетривиальны, доступа с http к этим папкам не было, никаких ссылок тоже…
Короче хреновый из меня следователь вышел 🙁
Ну и конечно стукнул в Сапу — подтвердил право на сайт, запросил личные данные хакера и попросил блокирнуть его аккаунт — но после прочтения форума понял, что ловить нечего — хакеры «ходят» в админку через прокси, мыла фрихи, кошельки разовые.
По последствиям: Яндек (падла такая) конечно же не оставил без внимания наличие продаваемых ссылок на ресурсе, что практически сразу отрицательно сказалось на позициях в выдаче и целевом трафике 🙁 После устранения последствий прошло уже 3 апа — Яша назад не поднимает…
Выводы:
Ещё в сотый раз — аккуратнее с безопасностью !
В первую свою статейку по безопасности дописал ещё пару пунктов.
На днях ожидайте скрипты: поиска шеллов, проверку файловой структуры на «плохие» права и контроль изменения в файлах.