Если взломали сайт: с чего начинать? ч.2

Примечание: Этот текст может содержать некоторые партнерские ссылки, а это значит, что я зарабатываю небольшую комиссию без каких-либо дополнительных затрат с вашей стороны, если вы воспользуетесь этими ссылками. Спасибо за понимание и поддержку.

Вчера и позавчера я начал писать о своей проблеме с одним из сайтов, на котором стоит магазин платных шаблонов WordPress.

31 марта получил письмо хостера, который в свою очередь получил «абузу» от немецкой компании, которая в свою очередь, получила письмо одного латиноамериканского банка о проблемах с вирусом фишинга.

Немцы сразу нашли директорию и путь к скрипту на моем сайте. Честно говоря, если бы не эта ссылка, у мен7я ушло бы гораздо больше времени на поиски, так как на этом сайте — 1 домен и 51 поддомен на которых стоят системы Вордпресс.

Скрипт лежал в одном из поддоменов. Я его сразу удалил, о чем чуть позже пожалел, так как имена файлов мне могли помочь в дальнейшем анализе сайта на предмет поиска других скриптов вируса.

Анализируя данные счетчика посетителей, увидел ссылки на другой скрипт, на который переходили посетители. Тоже удалил и тоже потом немного пожалел.

Правда, теперь, по прошествии двух недель, понимаю, что жалел напрасно.

С чего я начал?

Закрыл сайт от посетителей с помощью плагина WP Maintenance Mode. Плагин имеет русскую локализацию и удобен тем, что вы закрываете сайт на обслуживание, при этом вы отлично видите как работает сайт, потому что вы — администратор. Вы можете кроме себя дать «добро» видеть сайт еще кому-нибудь, или открыть для доступа некоторые записи и страницы, чтобы их могли видеть с других IP адресов. У плагина несколько шаблонов представления страницы, которая выдается посетителям, есть счетчик обратного отсчета. Довольно приятный и надежный плагин. Я им пользуюсь постоянно и он меня никогда не подводил.

maintenance mode wordpress plugin

Закрыть — не главное. Важно другое. Надо понять — откуда на сайт попал злоумышленник, где «дырка»?

Советую прочитать еще:  Плагин Wordpress WP-Copyright-Protection - защитит весь контент от копирования

Существует три основных (ИМХО) варианта взлома сайта:

  1. Подбор Логина и/или Пароля через страницу входа в Консоль администратора.
  2. Через незащищенное соединение FTP клиента.
  3. Дыра в одном из PHP файлов WordPress, шаблона или используемых плагинов.

Возможны варианты, когда хакер проник на сервер вашего хостинга через другой сайт, и смог поразить своим вирусом все сайты, которые расположены на сервере хостера. С этим бороться должен хостинг, но вероятность такого взлома ничтожно мала, так как сервер чаще всего защищен более надежно, чем сайт.

Перечисленные мной выше три варианта взлома — наиболее частые случаи проникновения вируса на ваш сайт. Поэтому и я начал именно с этого.

Подбор Логина и Пароля легко закрыть. Существует несколько плагинов WordPress которые помогут это сделать очень быстро. У меня уже стоял на тот момент плагин Login Lockdown, задача которого — заблокировать вариант, когда кто-то (человек или робот) пытается подобрать в течение короткого времени Логин и/или Пароль доступа на странице /wp-login.php

Поэтому этот путь я для себя сразу вычеркнул. У меня он был защищен.

Второй вариант взлома — через незащищенное соединение FTP клиента. Я пользуюсь программой FileZilla, и мой сайт на хостинге не имеет защищенного SSL канала. В программе FileZilla я настроил доступ на сайт таким образом, что программа хранит Логин, а пароль я ввожу с клавиатуры и программа его хранит только во время сессии доступа. Но это в любом случае много.

Как происходит взлом через FTP? Здесь целая цепочка. Сначала на ваш компьютер попадает троян, вместе с какой-нибудь скачанной в интернете программой, или вы цепляете вирус при заходе на какой-либо сайт (последнее время именно этот фактор — самый популярный).

Советую прочитать еще:  Плагин WordPress Change DB Prefix - меняем префикс таблиц базы данных

Затем вирус собирает все данные с вашего компьютера, включая различные ваши Логи доступа к вашим сайтам через реестр Windows и другие файлы. Затем он скидывает эти данные (куда — не знаю, вероятно, на компьютер хакера, но могут быть и другие варианты, я не хакер, пишу так, как знаю сам).

Все упирается в защиту вашего сайта. Какой Антивирусник стоит у вас?

У меня на этот момент (31 марта), о котором я рассказываю, стоял MS Essentials Security. Стоял более года и в принципе, выполнял свои задачи исправно. Вовремя обновлялся, всегда поднимал крик «Караул!» когда я натыкался на зараженные сайты или скачивал программы или файлы с зараженным «нутром».

По совету более опытных в этих делах решил сменить программу антивируса и поставить другой — Avira Antivirus Premium 2012. Поставил, запустил. Антивирусник нашел несколько троянов, которые были в разных местах компьютера, от папок /temp до реестра Windows. Дыра? Возможно.

Затем я через FTP клиента скачал всю директорию public_html моего «больного» сайта. В ходе скачивания антивирус ругнулся на один файл, который был расположен в папке /wp-includes основного домена. Имя файла не совпало ни с каким другим именем системных файлов WordPress и таким образом я понял, что возможно, именно этот файл и явился основным вирусом, внедренным на мой сайт. Файл я удалил. Антивирус не дал мне его посмотреть, полностью заблокировав к нему доступ и на компьютере, и через FTP. Пришлось просто его удалить, так и не поняв, что в нем было.

Спасибо, что дочитали до этого места. Продолжение — завтра.

Важно! Эта запись может содержать ссылки на плагины, которые к моменту вашего чтения и скачивания могут работать не корректно. Будьте внимательны.

5 Comments

  • Можно, если забыть пароль — то можно и потерять 🙂 Файл с паролями рекомендуют «забросить» выше корневой директории сайта. Не знаю, как у других, у моего «хостера» в это место у меня есть доступ через панель управления, и я всегда могу поменять этот файл или удалить его (если забуду пароль). Кстати, в панели управления я могу указать с каких IP адресов разрешаю доступ по FTP (только с домашнего, например). И дополнительная мера — при входе в панель управления при вводе логина и пароль мне приходит СМС с разовым кодом доступа. И лишь после правильного ввода кода из СМС я получаю доступ. Сложно? Зато, думаю, безопасно. Но стоит это денег (хостинг то платный).

    Ответить
  • Еще в тему защиты сайта: сегодня наткнулся на статью «Защита сайта с помощью .htaccess и .htpasswd»
    blog.imena.ua/%D0%B7%D0%B0%D1%89%D0%B8%D1%82%D0%B0-%D1%81%D0%B0%D0%B9%D1%82%D0%B0-%D1%81-%D0%BF%D0%BE%D0%BC%D0%BE%D1%89%D1%8C%D1%8E-htaccess-%D0%B8-htpasswd/

    Ответить
    • Автор · Edit

      Не очень корректные описания, не понятно, что ждет владельца сайта после таких манипуляций. Можно полностью доступ к сайту потерять.

      Ответить
  • Автор · Edit

    Здесь скорее не интрига. Просто если писать обо всем и сразу — получиться очень большая статья, которая потянет на несколько часов писанины…
    Вряд ли кому-то это покажется интересным чтивом на весь день.
    Те, кто придут читать через год — прочтут все и сразу (если, конечно, будет им это необходимо и интересно).
    А сейчас всем придеться немного подождать. Я постараюсь не сильно растягивать: поменьше эмоций, побольше сухой конкретики.

    Ответить
  • · Edit

    Умеете Вы, Олег, заинтриговать. Опять — продолжение завтра. Читается все как захватывающий детектив, если бы не было так серьезно.

    Ответить

Добавить комментарий

Ваш email нигде не будет показан. Обязательные поля помечены *