Как распознать взлом сайта

И что делать дальше

Технические специалисты хостинг-провайдеров мониторят безопасность серверов и в некоторых случаях даже ваших сайтов. Однако ни один мониторинг не является на 100% эффективным. Важно самим заботиться о безопасности своего сайта. Чем быстрее вы обнаружите взлом, тем меньше окажется ущерб, тем проще будет все восстановить его.

Зачем взламывают сайты

Взлом сайта (он же неправомерный доступ к компьютерной информации, если следовать определению статьи 272 УК РФ) осуществляется с несколькими целями, и это не всегда нанесение максимального ущерба. 

Заработок

Взятие данных в заложники — частая причина взломов. Злоумышленник копирует данные и удаляет их, а возможно и шифрует. Затем он выходит на владельца данных и предлагает все вернуть за деньги.

Встречается также размещение на площадке вашего сайта майнинговых скриптов для заработка криптовалюты. Размещены могут быть и боты, которые злоумышленник в дальнейшем использует для организации других атак. Таким образом атакованный сервер становится участником майнинговой фермы или частью ботнета. Целью атакующего могут быть посетители сайта, их устройства. В этом случае зараженный сайт выполняет активные действия для атаки на браузеры посетителей.

Еще один вариант атаки — размещение фишинговых страниц для выманивания личных данных или денежных средств посетителей. Например, под видом сбора донатов на хорошее дело. Злоумышленник пользуется доверием людей к вашему сайту, поэтому могут пострадать не только посетители, но и ваша репутация. 

По личным или идеологическим мотивам

Возможно,  ваш сайт или сама организация кому-то не нравятся вплоть до желудочных колик, и это может повлечь за собой попытки напакостить. Примеры: затруднение работы, нанесение репутационного ущерба и даже уголовное преследование авторов. Не исключено, что достанется и вашему сайту. Это целенаправленные атаки, от них бывает сложнее защититься. 

Злодеем может оказаться не только частный пакостник, но и корпорация или государственная структура. Соответственно, мотивы могут быть не персональные, а идеологические. Есть много задач, которые в таком случае ставит перед собой злоумышленник: от полного прекращения работы сайта до получения доступа к списку сотрудников с их контактами. 

Потому что я могу!

Нередко причиной атаки становятся любопытство и спортивный азарт. Злоумышленник хочет доказать себе и другим, что его способностей хватает для взлома сайта.

Как определить, что произошел взлом

Последствиями взлома могут стать нестандартное поведение сайта или изменения дизайна. Правда, сайт может не открываться, например, из-за DDoS-атаки, а она, строго говоря, взломом не является. Возможно, такая атака осуществляется на другой сайт на том же сервере. Бывает, что владелец сайта забывает заплатить за хостинг или ошибается в настройках DNS в панели регистратора доменов. Сбой в работе сайта может иметь разные причины. Вот несколько простых примеров, когда это скорее взлом, чем что-то другое. 

Дефейсмент 

Изменение внешнего вида страниц сайта (обычно главной страницы). Вместо привычного содержания посетители видят политические лозунги, хулиганские картинки или просто гордое заявление о взломе сайта.

Неработоспособность или замедление сайта

Неработоспособность сайта не всегда говорит о злонамеренности, но важно всегда обращать на это внимание. Неработоспособность не всегда означает полное прекращение работы сайта. Она может проявляться в необычно долгой загрузке страниц (особенно если это повторная загрузка), частичной загрузке элементов сайта, выросшей нагрузке на сервер и т.п. Сравните, как расходуются ресурсы хостинга, с обычными значениями — например, в прошлом месяце. Соответствует ли рост нагрузки каким-то легальным действиям на сайте, к примеру, раскрутке общественной кампании или публикации резонансного материала? Или расход ресурсов подскочил внезапно в ночь с пятницы на субботу? Создает ли нагрузку главная страница, главные страницы разделов сайта? Или виновником оказывается файл скрипта со странным названием? Сам сайт можно проверить на вирусы с помощью внешнего сервиса, например https://www.virustotal.com/ или https://vms.drweb.ru/online/.  

Подозрительные файлы на площадке сайта

Есть доступ к файловой структуре сайта? Обратите внимание, не появились ли там новые файлы или целые папки. Можете ли вы или администратор сайта объяснить их возникновение? Отмечаете ли вы изменение времени обновления файлов, которые не должны меняться? Это может быть работа коллег или системы, а может быть и атака злоумышленника. При этом «вредные» файлы вряд ли будут называться «crack» или «botnet». Злоумышленники используют нейтральные названия, имитирующие атакованную систему. 

Добавление элементов

Иногда взлом сайта можно заметить по новым элементам. Примеры — рекламные баннеры, неожиданные гиперссылки, странные по тематике текстовые блоки и  целые статьи. Если это не креатив ваших коллег, значит, скорее всего эти элементы размещены злодеем.

Изменение поисковой выдачи

Сайт может существенно снизить позицию в рейтинге поисковых систем или вовсе исчезнуть из поисковой выдачи. Тревожными симптомами также являются неожиданное падение или необъяснимый рост посещаемости. 

Предупреждение браузера

Если сайт не только был взломан, но это заметили поисковые системы, можно увидеть предупреждение от браузера. Стоит проверить правильность ссылки и попробовать зайти ещё раз.

Кто все эти люди?

Если у вас есть вход в панель администрирования сайта, вы можете заметить появление новых администраторов или пользователей, иногда с расширенными правами. Их имена вам что-нибудь говорят? Ваша команда принимала соответствующие решения? Системный администратор в курсе? Если нет, имена возможно, этих «казачков» заслал злоумышленник для развития успешной атаки. 

Конечно, это не окончательный список неожиданного и подозрительного поведения сайта или сервиса. Стоит полагаться на своё внимание к мелочам. Что же делать, если вы заметили нечто странное или тревожное в работе сайта?

Действительно, что делать?!

Дальнейшие рекомендации вы можете использовать для создания собственной политики безопасности и своего кризисного протокола, то есть, последовательности действий при инциденте безопасности — взломе сайта.

Не дожидаясь инцидента, выясните контакты технической поддержки хостинга. Освойте панель администрирования сайта, чтобы свободно в ней ориентироваться. Настройте регулярное резервное копирование, постарайтесь, чтобы у вас была резервная копия не только на хостинге, но и локально. Составьте следующие инструкции: 

  • как восстановить сайт из резервной копии;
  • как заблокировать работу сайта (например, это поможет в случае дефейсмента или для предотвращения работы вредоносных скриптов);
  • как проверить сайт на вирусы онлайн-сервисами. 

Всё это стоит вписать в кризисный протокол при взломе сайта. Даже если админ сайта всё умеет, он может уехать в отпуск или впасть в цифровой детокс, когда злодеям захочется испортить вам сайт.

При наступлении инцидента прежде всего, мы советуем сообщить о своих подозрениях коллегам и техническому специалисту, который занимается вашим сайтом. 

И если вы не сможете обратиться к специалисту по безопасности, но предполагаете, что странное поведение сайта связано с несанкционированной активностью, то можно самостоятельно предпринять следующие действия:

  • успокойтесь и не паникуйте, для выполнения следующих задач нужны сосредоточенность и спокойствие;
  • попробуйте найти другие признаки взлома, проверьте на вирусы внешним онлайн-сервисом, возможно вы просто забыли, что вчера обновили CMS, и именно это причина ошибок; 
  • обратитесь к технической поддержке хостинга и сообщите о подозрениях;
  • если это всё-таки взлом, то остановите работу площадки сайта;
  • сделайте полную копию пострадавшей площадки сайта, не забудьте про файлы логов (это поможет специалисту по безопасности разобраться в деталях атаки);
  • восстановите резервную копию, чтобы вернуть сайт к работе (вы ведь не забыли настроить регулярный бекап сайта?);
  • смените все данные доступа к сайту у всех пользователей (не только к административной панели сайта, но и к хостингу);
  • выполните обновления сайта и всех плагинов и модулей.

Вы можете восстановить сайт из резервной копии, обновить CMS и успокоиться. Но если взломы повторяются, то таких действий явно недостаточно. Тогда разобраться в характере атаки вам может помочь специалист по безопасности. Не забывайте и о том, что размещение веселым хакером забавной картинки на вашем сайте образует состав уголовного преступления. А значит, вы можете обратиться в правоохранительные органы с заявлением о взломе. И перспективы найти злодея вполне реальны, особенно если вы сохранили все улики.

Обратите внимание, что хотя мы сейчас пишем именно про устранение последствий взлома, эффективные превентивные меры по безопасности сайта и наличие резервной копии помогут вам минимизировать риск успешной атаки на ваш сайт или уменьшить её последствия.