Що робити, якщо ваш сайт атакований?
... Не секрет, що багато сайтів часто намагаються «зламати», особливо часто піддаються атакам «Народні» сайти Яндекса.
Методика «злому», як правило, надзвичайно проста: використовуючи який-небудь наспіх «нагугленний» генератор паролів, хакер підбирає пароль до сайту-мішені і робить так званий дефейс (Від англ. Deface - погіршувати, псувати, пошкоджувати, спотворювати, прати, знищувати) - змінює головну сторінку сайту (наприклад, виводиться - аршинними літерами! - Напис «Тут був я, найкрутіший хакер всіх часів і народів Вася Пупкін !!! »). Рідше вміст сайту підміняється яким-небудь порно-вмістом.
Більш зловмисні хакери йдуть далі, наприклад, вбудовують в програмний код сторінок сайту скрипти з посиланнями на файли з шкідливим вмістом. При спробі завантажити інфікований сайт (сторінку) скрипт спрацьовує, і автоматично на ПК користувача, який відкрив веб-сторінку, закачується і встановлюється шкідливе програмне забезпечення. І якщо ПК користувача не захищений антивірусом і брандмауером, то спроба відвідування інфікованого сайту може закінчитися в тональності ре мінор ...
Іноді атаки на сайти носять масовий характер. У цьому випадку техніка злому більш витончена: наприклад, використовуються SQL-ін'єкції - «Впровадження операторів SQL» (SQL Injection - Вид уразливості, при якій атакуючий доповнює SQL-запит додатковими операторами, що дозволяють підвищити привілеї або отримати несанкціонований доступ до даних. Уразливості зазвичай експлуатуються через поля введення і параметри веб-сторінок, код яких не фільтрує передані користувачем значення. До речі, атаки з використанням SQL-ін'єкцій вважаються найнебезпечнішими!) Або міжсайтовий скриптинг - «Міжсайтового виконання сценаріїв» (Cross-Site Scripting, XSS).
Кілька масових атак на «народні» сайти Яндекса відбулися в березні і 24-26 квітня 2008 (напередодні роковин Чорнобильської катастрофи, до речі, Яндекс офіційно факт атак не визнав, - «плата» за безкоштовність хостингу!). Під час атак був модифікований (інфікований!) Код сторінок index.htm і main.htm багатьох сайтів.
При спробі завантажити інфіковані сайти завантажувалася сторінка https://colehost.cn/update.php, яка викликала сторінку https://colehost.cn/load.php (До речі, доменна зона .CN належить Китаю ...). Після цього в корінь диска C: ПК користувача копіювався виконуваний файл вірусу (може мати довільну назву, наприклад, wingNlDCEH.exe, winwiskXrM2gTjaIz.exe, load.exe і т.д.). Panda Antivirus ідентифікує цей вірус як W32 / Nuwar.C.worm- антивірус Касперського - як Trojan-Downloader.JS- NOD32 - як win32 / Statik- також може ідентифікуватися як IFRAME.Exploit. Попутно в каталог Program Files Common Files System можуть бути скопійовані файли вірусу apcsvra.dll і apcsvra.exe.
Лікарю, зцілися сам !, або Порятунок інфікованих - справа рук самих інфікованих!
Як усунути наслідки атаки:
- Перевірте свій ПК на відсутність вірусів;
- Змініть пароль на доступ до свого сайту (на жаль, на Народ.Ру цей пароль єдиний - і на пошту Яндекса, і на доступ до сайту) ;
- Завантажте на сайт вихідні веб-сторінки замість інфіцірованних;
- Повідомте про факт атаки адміністрації хостинг-провайдера (це не гарантує, що ваш сайт в подальшому не буде піддаватися атакам, особливо, якщо сайт хоститься на безкоштовному хостингу!) ;
- Завжди користуйтеся брандмауером і антивірусом (З регулярно оновлюваними базами!).
Примітки
1. Використовуйте пароль максимально можливої складності (достатньої довжини, з чергуванням цифр, рядкових і заголовних букв, etc.).
2. Частіше міняйте пароль.
3. Якщо є можливість, розташовуйте свій сайт на платному хостингу.