Признаки взлома сайта

Существует ряд признаков, которые с разной степенью достоверности могут подсказать, что с сайтом не все в порядке и владельцу сайта необходимо заняться вопросами безопасности и защиты своего ресурса.


Ниже перечислим наиболее полный список признаков, по которым можно определить, что сайт был взломан или к сайту имеется несанкционированный административный доступ.

[LIST][*]Резко упала посещаемость сайта[*]При заходе на сайт с мобильного устройства происходит редирект на другой сайт, переход в AppStore, или браузер предлагает скачать (обновить) какое-то приложение[*]На сайте появляются всплывающие окна, тизерные блоки, контекстная реклама, которые вы не размещали[*]В статистике посещений регулярно появляются переходы на сайты, при этом на них нет явных ссылок на страницах[*]При клике по локальным ссылками выполняется переход на сторонний ресурс или открывается новое окно с чужим сайтом[*]На сайте появился посторонний контент (новые статьи, фрагменты страниц, разделы, пункты меню), который вы не размещали[*]На страницах появились ссылки на сторонние ресурсы. Иногда ссылки не видны на самой странице, но есть в коде страницы или детектируются внешними сервисами[*]Сайт теряет позиции в поисковой выдаче[*]В поисковом индексе (в панели вебмастера) появилось много новых страниц, которые вы не добавляли[*]В поисковой выдаче сайт отображается с предупреждением о наличие и распространении вредоносного кода[*]Странные заходы на сайт в статистике посещений (большое число посетителей, не задерживающихся на странице больше 1 секунды)[*]Жалобы пользователей на вредоносный код, ненадлежащий контент или недобросовестную рекламу на страницах[*]Срабатывает десктопный или мобильный антивирус (на наличие вируса или “взрослого” контента)[*]Извещение от хостинга о наличие вредоносного кода в скриптах, спам-рассылки с сайта или высокой нагрузке[*]Тех поддержка рекламной сети (Яндекс.Директ, Google Adwords) указывает на присутствие вредоносного кода на сайте[/LIST]
Если до настоящего момента вы не задумывались о безопасности сайта, рекомендуем вам выполнить ряд простых действий, которые позволят провести быструю диагностику:

[LIST][*]добавить сайт в панель вебмастера Яндекса и Гугла, проверить в них количество проиндексированных страниц, предупреждения о наличие вредоносного кода, количество внешних ссылок[*]разместить на сайте счетчики посещений liveinternet, Яндекс.Метрики и посмотреть статистику переходов на другие сайты за неделю, среднее время просмотра страниц и т.п.[*]зайти на сайт с различных мобильных устройств, [URL="http://zorrobot.ru/tool/yago.php"]проверив на редиректы[/URL][*]просканировать сайт сервисами определения внешних ссылок[*]добавить сайт в популярные биржи ссылок sape/trustlink/mainlink/linkfeed/setlink, чтобы за вас это не сделал хакер[*]посмотреть исходный код страниц сайта на наличие постороннего кода, скрытых ссылок, скриптов или iframe вставок (можно создать локальную копию сайта с помощью программы Teleport Pro и сделать поиск по IFRAME вставкам или подозрительным ссылкам из статистики посещений)[/LIST]
Более опытные вебмастера могут также

[LIST][*]просканировать сайт [URL="http://revisium.com/ai/"]сканером вредоносного кода[/URL][*]сохранить дамп базы данных и выполнить поиск по фрагментам <script, <embed, <object и <iframe[*]проверить куки, которые выставляются после серфинга по сайту[*]в инструменте разработчика браузеров Chrome, IE11 или Firefox посмотреть список скриптов, которые загружаются на страницах сайта и домены, с которых они загружаются[/LIST]
Если вы нашли один или несколько перечисленных признаков на вашем сайте, не стоит паниковать и делать поспешные выводы, так как часть из них может быть не связана напрямую со взломом сайта. Для начала необходимо тщательно диагностировать проблему. Если “ругается” антивирус или поисковая система, запросите детали в вирусной лаборатории или тех поддержке сервиса. Если жалуются пользователи, попросите их прислать скриншоты страниц с рекламой или сообщением антивируса. Если вы обнаружили чужой контент на страницах сайта – проверьте базу данных и шаблоны на наличие постороннего html кода или скриптов. Также рекомендуем проверить сайт [URL="http://revisium.com/ai/"]сканером вредоносного кода[/URL], чтобы быть уверенным, что на сайте нет вирусов, хакерских шеллов и бэкдоров. Переходы на чужие сайты или подозрительные ссылки на страницах стоит проверять на разных компьютерах и мобильных устройствах и в нескольких браузерах. Иногда их причиной может быть установленные плагины в браузере или наличие adware (рекламное ПО) на компьютере пользователя.

Есть еще вариант обнаружения: сделать базу контрольных сумм для скриптов и периодически сверять их.
Этот вариант замечательно работает, если скрипты правятся редко.

[QUOTE=StanleyN;1155892]Есть еще вариант обнаружения: сделать базу контрольных сумм для скриптов и периодически сверять их.
Этот вариант замечательно работает, если скрипты правятся редко.[/QUOTE]


Что-то похожее встроено в некоторые CMS, например, в IP.Board уже очень давно есть анализ изменений файлов, который показывает подозрительные изменения.

[QUOTE=Ilya Shabanov;1156097]Что-то похожее встроено в некоторые CMS, например, в IP.Board уже очень давно есть анализ изменений файлов, который показывает подозрительные изменения.[/QUOTE]

Контроль целостности (integrity check) можно делать плагинами: wordpress ([URL="https://wordpress.org/plugins/sucuri-scanner/"]Sucuri Security[/URL], [URL="https://wordpress.org/plugins/wordfence/"]Wordfence Security[/URL]), joomla ([URL="http://www.rsjoomla.com/joomla-extensions/joomla-security.html"]RSFirewall[/URL]), Битрикс ([URL="http://dev.1c-bitrix.ru/user_help/settings/security/security_file_verifier.php"]Контроль целостности[/URL]) и др., [URL="http://habrahabr.ru/post/213895/"]средствами операционной системы[/URL] или банальным

[CODE]ls -lahR * > file_дата_время.txt или find . > file_дата_время.txt[/CODE]

Еще вариант - положить содержимое папки сайта под git, svn, csv или другую систему контроля версий и делать, например,

[CODE]git status[/CODE]