PDA

Просмотр полной версии : Признаки взлома сайта



revisium
03.09.2014, 20:56
Существует ряд признаков, которые с разной степенью достоверности могут подсказать, что с сайтом не все в порядке и владельцу сайта необходимо заняться вопросами безопасности и защиты своего ресурса.


Ниже перечислим наиболее полный список признаков, по которым можно определить, что сайт был взломан или к сайту имеется несанкционированный административный доступ.


Резко упала посещаемость сайта
При заходе на сайт с мобильного устройства происходит редирект на другой сайт, переход в AppStore, или браузер предлагает скачать (обновить) какое-то приложение
На сайте появляются всплывающие окна, тизерные блоки, контекстная реклама, которые вы не размещали
В статистике посещений регулярно появляются переходы на сайты, при этом на них нет явных ссылок на страницах
При клике по локальным ссылками выполняется переход на сторонний ресурс или открывается новое окно с чужим сайтом
На сайте появился посторонний контент (новые статьи, фрагменты страниц, разделы, пункты меню), который вы не размещали
На страницах появились ссылки на сторонние ресурсы. Иногда ссылки не видны на самой странице, но есть в коде страницы или детектируются внешними сервисами
Сайт теряет позиции в поисковой выдаче
В поисковом индексе (в панели вебмастера) появилось много новых страниц, которые вы не добавляли
В поисковой выдаче сайт отображается с предупреждением о наличие и распространении вредоносного кода
Странные заходы на сайт в статистике посещений (большое число посетителей, не задерживающихся на странице больше 1 секунды)
Жалобы пользователей на вредоносный код, ненадлежащий контент или недобросовестную рекламу на страницах
Срабатывает десктопный или мобильный антивирус (на наличие вируса или “взрослого” контента)
Извещение от хостинга о наличие вредоносного кода в скриптах, спам-рассылки с сайта или высокой нагрузке
Тех поддержка рекламной сети (Яндекс.Директ, Google Adwords) указывает на присутствие вредоносного кода на сайте

Если до настоящего момента вы не задумывались о безопасности сайта, рекомендуем вам выполнить ряд простых действий, которые позволят провести быструю диагностику:


добавить сайт в панель вебмастера Яндекса и Гугла, проверить в них количество проиндексированных страниц, предупреждения о наличие вредоносного кода, количество внешних ссылок
разместить на сайте счетчики посещений liveinternet, Яндекс.Метрики и посмотреть статистику переходов на другие сайты за неделю, среднее время просмотра страниц и т.п.
зайти на сайт с различных мобильных устройств, проверив на редиректы (http://zorrobot.ru/tool/yago.php)
просканировать сайт сервисами определения внешних ссылок
добавить сайт в популярные биржи ссылок sape/trustlink/mainlink/linkfeed/setlink, чтобы за вас это не сделал хакер
посмотреть исходный код страниц сайта на наличие постороннего кода, скрытых ссылок, скриптов или iframe вставок (можно создать локальную копию сайта с помощью программы Teleport Pro и сделать поиск по IFRAME вставкам или подозрительным ссылкам из статистики посещений)

Более опытные вебмастера могут также


просканировать сайт сканером вредоносного кода (http://revisium.com/ai/)
сохранить дамп базы данных и выполнить поиск по фрагментам <script, <embed, <object и <iframe
проверить куки, которые выставляются после серфинга по сайту
в инструменте разработчика браузеров Chrome, IE11 или Firefox посмотреть список скриптов, которые загружаются на страницах сайта и домены, с которых они загружаются

Если вы нашли один или несколько перечисленных признаков на вашем сайте, не стоит паниковать и делать поспешные выводы, так как часть из них может быть не связана напрямую со взломом сайта. Для начала необходимо тщательно диагностировать проблему. Если “ругается” антивирус или поисковая система, запросите детали в вирусной лаборатории или тех поддержке сервиса. Если жалуются пользователи, попросите их прислать скриншоты страниц с рекламой или сообщением антивируса. Если вы обнаружили чужой контент на страницах сайта – проверьте базу данных и шаблоны на наличие постороннего html кода или скриптов. Также рекомендуем проверить сайт сканером вредоносного кода (http://revisium.com/ai/), чтобы быть уверенным, что на сайте нет вирусов, хакерских шеллов и бэкдоров. Переходы на чужие сайты или подозрительные ссылки на страницах стоит проверять на разных компьютерах и мобильных устройствах и в нескольких браузерах. Иногда их причиной может быть установленные плагины в браузере или наличие adware (рекламное ПО) на компьютере пользователя.

StanleyN
04.09.2014, 18:34
Есть еще вариант обнаружения: сделать базу контрольных сумм для скриптов и периодически сверять их.
Этот вариант замечательно работает, если скрипты правятся редко.

Ilya Shabanov
05.09.2014, 12:52
Есть еще вариант обнаружения: сделать базу контрольных сумм для скриптов и периодически сверять их.
Этот вариант замечательно работает, если скрипты правятся редко.


Что-то похожее встроено в некоторые CMS, например, в IP.Board уже очень давно есть анализ изменений файлов, который показывает подозрительные изменения.

revisium
05.09.2014, 13:34
Что-то похожее встроено в некоторые CMS, например, в IP.Board уже очень давно есть анализ изменений файлов, который показывает подозрительные изменения.

Контроль целостности (integrity check) можно делать плагинами: wordpress (Sucuri Security (https://wordpress.org/plugins/sucuri-scanner/), Wordfence Security (https://wordpress.org/plugins/wordfence/)), joomla (RSFirewall (http://www.rsjoomla.com/joomla-extensions/joomla-security.html)), Битрикс (Контроль целостности (http://dev.1c-bitrix.ru/user_help/settings/security/security_file_verifier.php)) и др., средствами операционной системы (http://habrahabr.ru/post/213895/) или банальным


ls -lahR * > file_дата_время.txt или find . > file_дата_время.txt

Еще вариант - положить содержимое папки сайта под git, svn, csv или другую систему контроля версий и делать, например,


git status