Вредоносный код на сайте — откуда он взялся?

На прошлой неделе мы запустили автоматическую проверку сайтов наших клиентов услуги Виртуальный хостинг на подозрительные скрипты. Сделали мы это с помощью сканера AI-Bolit от компании Revisium. Теперь проекты наших клиентов будут в большей безопасности. Конечно, невозможно отследить абсолютно все угрозы для сайтов, но в любом случае нужно повышать уровень общей безопасности.

После первого же запуска сканер обнаружил несколько вредоносных скриптов, о чем мы предупредили наших клиентов, а тот кто предупрежден — тот вооружен. Теперь можно будет удалить вредоносы и выявить уязвимости, из-за которых подозрительный код попал на сайты.

Причем второй пункт не менее важен, чем первый, потому что именно уязвимости сайта являются одной из наибольших угроз веб-безопасности.

Безопасность сайта — понятие широкое, и включает в себя много мероприятий. Это и своевременное обновление CMS сайта и плагинов, и регулярная смена паролей, и контроль за тем, кто работает с сайтом, имеет к нему доступ и многое другое. Все предусмотреть не удастся, но уменьшить уровень угрозы — вполне по силам владельцам сайтов. В этой статье мы расскажем что такое вредоносное ПО, какие последствия бывают от заражения сайтов и что делать для того, чтобы ваши сайты были в безопасности.

Что такое вредоносный код и на кого он направлен

Вредонос — это программный код, который выполняет действия, нарушающие нормальную работу веб-ресурса. Этот код может причинить много неприятностей владельцу сайта, пользователям, которые приходят на этот сайт и хостинг-провайдеру.

Для владельцев сайтов наибольшие неприятности приносят скрипты, которые представляют собой спам-страницы, биржи ссылок и т.д. Целью внедрения такого кода являются, например:

  • рассылка спама;
  • затруднение работы сервисов, предлагаемых сайтом;
  • понижение сайта в выдаче различных поисковиков;
  • спамные ссылки и реклама;
  • заражение компьютеров посетителей сайта;
  • заражение других сайтов на хостинг-аккаунте;
  • майнинг криптовалют на компьютерах посетителей или сервере хостинга.

Кроме того, посетители при попытке зайти на сайт, могут увидеть, например, такое уведомление:

Это их отпугнет а, следовательно, уменьшит трафик посетителей на сайт и снизит доверие к нему. Что, в свою очередь, скажется на продажах или любой другой активности сайта.

Для хостинг-провайдера зараженный сайт или целый аккаунт клиента тоже представляет проблему. Во-первых, увеличивается нагрузка на сервера и ресурсы. Во-вторых, если заражен один сайт на клиентском аккаунте, то велика вероятность того, что вирус «подхватят» и другие сайты на этом аккаунте. В-третьих, из-за рассылок спама IP-адрес сайта может попасть в спам-базы, что скажется на работе других клиентов хостера.

Вирус может также негативно повлиять на посетителя сайта. Примеров тому масса:

  • перенаправление посетителя на заведомо опасный сторонний ресурс;
  • редирект на фишинговые страницы;
  • показ рекламы, которой на сайте быть не должно и которая затрудняет просмотр основного контента;
  • заражение компьютера или мобильного устройства посетителя с помощью троянских программ и др.

Таким образом, вредоносы вредят всем, кто контактирует с зараженным сайтом. И не важно, будет ли это небольшое снижение комфорта в работе с сайтом или же прямая угроза оборудованию или персональным данным клиента — такую активность необходимо отслеживать и вовремя устранять.

Откуда взялся вредоносный код?

Причин появления вредоносов на сайте много. Одна из основных причин появления вредоносного ПО на сайте — уязвимости в CMS (системе управления контентом). CMS бывают бесплатные (например, WordPress, Joomla, Drupal) и коммерческие, но и те и другие нужно регулярно обновлять до самой новой версии, применять патчи и обновления. По данным компании SUCURI распределение взломов по платформам за третий квартал 2016 года выглядит так:

Если не делать обновления, то злоумышленники смогут:

  • загрузить на ваши сайты бэкдоры (скрипты, которые позволят злоумышленнику получить доступ к вашему хостинг аккаунту, когда он
  • захочет);
  • загрузить на ваши сайты веб-шеллы (с их помощью можно выполнять различные команды на хостинг-сервере с правами взломанного клиента);
  • запустить от вашего имени спам-рассылки;
  • украсть базы данных, код сайтов, логины и пароли;
  • изменить код сайтов (добавить свою рекламу, загрузчики вирусов, майнеры криптовалют и т.д.).

Обычно хакеры не ломают прицельно конкретный сайт (кроме случаев целевого взлома именно этого ресурса), а взламывают десятки и сотни сайтов, имеющих одинаковые уязвимости. Дело в том, что разработчики наиболее известных CMS публикуют во время релиза списки ошибок, которые были найдены в системе управления контентом. Поэтому все, кто не обновил CMS вовремя находятся в зоне риска. Также, это могут быть 0-day уязвимости, о которых разработчикам CMS еще не известно.

Слабые пароли — следующая проблема, с которой может столкнуться владелец сайта. Не стоит ставить в качестве пароля дату своего рождения, имя, фамилию, город проживания или кличку любимого животного. В наше время узнать эту информацию с помощью соцсетей не так уж и трудно, поэтому лучше всего использовать сложные пароли, в которых будут прописные и строчные буквы, цифры и, если это разрешено, специальные символы.

Уязвимости в плагинах и шаблонах также могут стать причиной появления вирусов на сайте. В прошлом году специалисты компании RIPS Technologies сделали исследование примерно 50 тыс. плагинов для WordPress. Оказалось, что они имеют более 65 тыс. проблем с безопасностью, и более чем восьми тысяч плагинов оказались уязвимы. При этом оказалось, что маленькие плагины почти не имели уязвимостей, а самые серьезные проблемы были выявлены в больших файлах. Также, не стоит оставлять на сайтах неиспользуемые плагины, которые по той или иной причине не подошли — только то, что надо, ничего лишнего.

Взлом базы данных. Очень часто сайты работают на известных системах управления базами данных, таких как MySQL, а для администрирования используют инструменты phpMyAdmin, или Adminer. У них также периодически находят уязвимые места, потому, если используется своя версия административного интерфейса — ее тоже стоит регулярно обновлять.

Подбор паролей на FTP. Это один из самых старых протоколов, использующихся для передачи файлов. Он был разработан еще в 1971 году, задолго до изобретения HTTP, и имеет большое количество уязвимостей в защите. Все, что передается с его помощью — пакеты, пароли, данные — передается в открытом виде. А это значит, что при определенных обстоятельствах данные можно перехватить и использовать в личных целях.

Как понять, что на сайте есть вредоносный код

Путей заражения сайта вирусом довольно много и опасность, что ваш сайт будет атакован не так уж и мала. Потому необходимо следить за безопасностью сайта и стараться вовремя реагировать в тех случаях, если вы заметили:

  • резкое увеличение нагрузки при неизменном количестве посетителей;
  • предупреждения вашего хостинг-провайдера;
  • странности в работе сайта — медленная загрузка, притормаживание, редиректы на другие ресурсы;
  • тревожные уведомления в поисковой выдаче, что ваш сайт может нести угрозу.

Как следить за его безопасностью сайта

Так что же делать, для того, чтобы уменьшить угрозу заражения сайта? Мы подготовили для вас небольшой чек-лист на эту тему.

  1. Регулярно обновляйте CMS вашего сайта, плагины и программное обеспечение.
  2. Делайте бекапы! Старайтесь делать их регулярно, чтобы в случае чего — иметь возможность восстановить данные. Более того, периодические бекапы лучше делать независимо от бекап-системы хостера, две копии лучше одной.
  3. Своевременно реагируйте на сообщения от своего хостинг-провайдера о подозрительной активности вашего сайта или о жалобах на него.
  4. Время от времени меняйте пароли. Причем старайтесь подбирать сложные пароли, чтобы не облегчать злоумышленникам взлом.
  5. Регулярно сканируйте свои устройства на вирусы.
  6. Внимательно относитесь к тому, кто работает с вашим сайтом и какие у них есть права и доступы.
  7. Своевременно обращайтесь к специалистам по безопасности сайтов.

Выполняя все эти нехитрые, а местами рутинные действия, вы сможете серьезно снизить вероятность взлома вашего сайта злоумышленниками. Конечно, 100% гарантии того, что ваш сайт не будет взломан, не даст никто, но вы защитите себя от последствий массовых атак, невнимательности сотрудников или чьих-то недобрых намерений.

P.S. Не забывайте следить за новостями в сфере безопасности о том программном обеспечении, которое используете на своих сайтах — ведь обновить сайт после выпуска новой заплатки гораздо легче, чем позже устранять последствия взлома.
Для этого, в частности, рекомендуем подписаться на нашу страницу в Facebook — там мы регулярно публикуем информацию о безопасности, основные уязвимости, которые могут угрожать сайтам клиентов, а также много другой полезной информации.

Метки: взлом | компьютерный вирус | массовый взлом | меры безопасности | опасный код | проблемы безопасности

Статьи по теме: