история взломанного сайта

Или что бывает с сайтом, если он без мониторинга.

В начале года ко мне на обновление попал очередной сайт на Joomla 1.5

Владельцы сайта регулярно работали над ним, создавали новые материалы, добавляли функции.
Сайт приносил им доход и был посещаем.

Но в какой то момент стали замечать просадку по позициям и посещаемости.
Медленно, но верно сайт опускался вниз.

И почему то иногда повышалась нагрузка на хостинг.

Думали что всё дело в старой версии Joomla, поэтому владельцы решили обновить движок.
Но как оказалось потом, дело было не только в старой версии движка.

В Рунете мало кто занимается обновлением, поэтому люди попали ко мне.

Началось...

Как обычно я создал резервную копию через Akeeba Backup и скачал себе на локалку.
При распаковке получил ошибку что JPA архив не может быть распакован.

Снова сделал резервную копию, но уже в ZIP формате.
Zip формат распаковался, но посыпались предупреждения антивируса, мол блокирована угроза. Одна, вторая, пятая, десятая...

вирус на сайте joomla

Сайт сразу пошёл на сканирование утилитой Айболит (как искать вирусы на сайте).

Анализ файлов сайта показал ужасную картину.
Множественные шеллы, куча левых скриптов и т.д.

1) "Безобидные" скрытые ссылки - это не страшно.

левые ссылки на сайте

Ссылка была спрятана через display:none и её не было видно.

"Вес" через них хоть и утекает непонятно кому, но всё равно, это не так страшно.

 

2) Продажа ссылок через автобиржу.

Был найден скрипт автобиржи LinkFeed, который размещал на сайте продажные ссылки.
Причем он был интегрирован в шаблон. Видимо хакеры не слишком торопились.

продажные ссылки

А вот за это, Яндекс и Гугл уже могут наложить санкции. Это серьёзное нарушение.

3) Закодированные GIF изображения содержащие php-код.

Разбирать код не стал, но сразу понятно что это вредоносный код, который работает в браузерах IE9
Такой тип называется EXIF шелл. Могут взломать сайт даже через аватарку пользователя.

exif шелл вирус в картинке

Изображения, скачанные из интернета могут содержать в себе вредоносный код. Поэтому будьте аккуратнее.
О способе защиты от таких шеллов я напишу в конце статьи.

4) Нашлось несколько бэкдоров.

Можно было без проблем загрузить на сайт любой файл. Там даже была подпись кто взломал)

как очистить сайт от вирусов

Бэкдор имеет свой адрес, переходя по которому открывается специальная страница с формой загрузки файлов. 
Это делается для лёгкой загрузки шеллов и вирусов.

5) И много других левых php файлов. 

Разбирать все их не стал, просто удалил.

Таким образом сайт был в полном распоряжении хакеров, при этом владельцы сайта об этом даже не подозревали.
Потому что не знали что происходит внутри сайта.

Хакеры там хорошенько "натоптали". 

Можно сказать что владельцам, в какой то мере повезло. Потому что их сайт работал. Файлы сайта и база данных были практически целы.
Но могло бы быть по-другому, и при отсутствии резервной копии (а её действительно не было) пришлось бы восстанавливать сайт или создавать с нуля.

Кстати, резервное копирование делалось средствами хостинга. "...Это же так удобно..."
Только толку от этого не было никакого. Потому что все бэкапы были тоже заражены. И новый заражённый архив перезаписывал старый заражённый архив, и то не регулярно.

 

Поэтому чтобы избежать таких сюрпризов, нужно выполнять 3 обязательных действия:

  1. Регулярно обновлять CMS систему

  2. Делать резервные копии сайта (автоматически с загрузкой в облако)
    Чтобы у вас всегда были свежие резервные копии, и вы могли их восстановить в любой момент.

  3. Подключить сайт к мониторингу, чтобы всегда знать какие файлы изменяются или добавляются.

  4. Интегрировать мониторинг и бэкапы, чтобы защитить резервные копии от попадания в них вирусов.

Не важно на какой CMS работает ваш сайт, взлому и заражению подвержены все CMS системы.

Чем всё закончилось?

Всё закончилось благополучно.

Сайт обновили до последней версии, сделали похожий шаблон с нуля (адаптивный), исправили косяки и ошибки, которые были в старой версии сайта.
Установили и настроили новые расширения.
Усилили безопасность.

Теперь к сайту подключен мониторинг и настроено продвинутое резервное копирование через наш скрипт AutoBackupMaster
Сейчас вышла уже 3 версия скрипта, поэтому рекомендую вам его. Он может интегрироваться с мониторингом.
Это реально помогает.

Сайт перенесли на VDS хостинг, там надёжнее.

Да, обещал рассказать о том, как защититься от EXIF шеллов.

Для этого все картинки должны храниться отдельно. В Joomla так и сделано, это папка images.
При этом в папке images должно быть запрещено выполнение php сценария.

Для этого создаём файл .htaccess с такой строчкой.

php_flag engine off

P.S.: Безопасность сайта также зависит и от хостинга. Сайт на обычном виртуальном хостинге взломать легче, чем сайт на VDS сервере.

Спасибо за внимание!
Будьте бдительны и не надейтесь на авось.
Подключайте мониторинг и делайте автоматические бэкапы в облако.

С уважением, Олег.

X

Инструкция по планированию сайта
С чего начать создание сайта?

Инструкция по созданию сайта

  • Инструкция по созданию сайта
  • Шаблон для составления плана сайта
  • Чек-лист по этапам создания сайта

* Никакого спама. Гарантирую!