что делать если взломали сайт
Что делать, если ваш сайт взломали
Мои сайты взламывали несколько раз. В этой статье я хочу рассказать о действиях, которые вы должны предпринять, если ваш сайт был взломан:
Если вам знакома эта ситуация, то вы должны знать и это чувство. Шок, паника, смятение. Закипающий гнев в считанные минуты может превратить вас в виртуального Халка. Но не паникуйте. Вы должны оставаться спокойным. Рациональным. Контролировать себя. Чистый, сосредоточенный ум является ключом для эффективного реагирования на любые нарушения безопасности.
Оцените размер ущерба
Обнаружив, что один из ваших сайтов взломан, проверьте остальные свои ресурсы, особенно, если они находятся на том же сервере. Вполне вероятно, что другие сайты на этом сервере также могли подвергнуться атаке. Сначала проверьте и оцените масштабы ущерба, прежде чем предпринимать дальнейшие действия. Это даст вам лучшее понимание серьезности проблемы, и позволит принять обоснованные решения.
Блокируйте все доступы
После оценки ущерба нужно заблокировать все доступы. Следует воспрепятствовать тому, чтобы кто-нибудь еще получил доступ к вашему сайту, пока он уязвим. Не нужно, чтобы посетители начали волноваться по поводу взломанных страниц. А Google помечал ваш сайт как содержащий вредоносное программное обеспечение.
Измените все пароли
Измените все свои пароли. Заведите специальный документ. В нем должны быть указаны все пароли от сервера или связанные с ним, например:
Будьте внимательны, это может быть долгой, утомительной частью процесса восстановления взломанного сайта, но это необходимо сделать тщательно. И не забудьте установить надежные пароли. Если это необходимо, используйте онлайн-инструмент для создания безопасных паролей.
Запишите все
Откройте текстовый файл и задокументируйте все свои действия по очистке. Это даст вам четкое представление о том, что нужно сделать на завершающем этапе анализа и как предупредить атаки злоумышленников в будущем.
Несколько вещей, которые я рекомендую включить в ваши записи:
Ведение подробных записей предоставит вам бесценную информацию, которая может быть использована для оценки, доказательств и документации. У меня до сих пор хранятся все файлы описания каждого из случаев взлома моих сайтов. Подробная документация позволяет более оперативно реагировать, если что-то подобное случится с вами в будущем.
Общайтесь по этой теме
О взломе должны знать все члены команды. После блокировки сайта следует обсудить с ними сложившуюся ситуацию и скоординировать дальнейшие действия.
Также следует обратиться за консультацией к специалистам или к людям, которые имеют больше опыта в вопросах безопасности. Если никто в вашей команде до сих пор не сталкивался с задачами по восстановлению и защите взломанного сайта, лучше всего нанять специалиста в этой области.
Проведите расследование
На данный момент у вас уже должно быть все заблокировано, и вы должны быть готовы начать расследование и наведение порядка. Этот этап требует большого опыта и понимания аспектов веб-безопасности. В зависимости от размеров нанесенного ущерба нанятый специалист по безопасности может сэкономить вам драгоценное время.
Если вы собираетесь заняться процессом очистки самостоятельно, вот некоторые действия, которые вам нужно сделать:
Важно точно понять, с помощью какого метода ваш сайт был взломан. Определите основные уязвимости сайта, способы воздействия через них и результаты этого воздействия. В зависимости от сложности взлома вам придется проверить один файл или тысячи.
Несколько дополнительных советов по определению метода атаки на сайт:
В 2013 году Perishable Press был взломан. Я провел расследование и попытался найти в Интернете любые возможные улики. Я обнаружил, что злоумышленник написал об этом на одном приватном хакерском форуме. Он подробно рассказал обо всем, что было сделано, чтобы взломать мой сайт, в том числе конкретный механизм, с помощью которого был получен несанкционированный доступ.
Злоумышленник даже разместил в общем доступе мой логин и пароль от базы данных. Этот опыт был для меня одновременно и стрессовым и поучительным. Я понял, что, если сайт был взломан, нужно задействовать все возможности поисковых систем — ответы могут лежать на поверхности.
Создавайте резервные копии
Важно, чтобы у вас под рукой всегда была текущая, проверенная, работающая резервная копия. Из-за ее отсутствия вы рискуете потерять какую-то часть данных безвозвратно. Если вы сами не делаете резервные копии, попросите об этом своего хостера, если автоматическое резервное копирование для вашего сайта доступно. Некоторые хостеры регулярно делают ночные снимки файловой системы сервера, чтобы ваш сайт можно было восстановить нажатием одной кнопки.
После того как вы обезопасили сайт, используйте последнюю резервную копию, чтобы восстановить утерянные данные. Возможно, понадобится восстановить базу данных, файлы или что-нибудь еще. Я исхожу из предположения, что сайт взломан полностью. И восстанавливать нужно все, используя последнюю доступную резервную копию. Поэтому, регулярно создавая резервные копии, вы сможете восстановить все намного быстрее.
Также следует сделать резервную копию всей системы сразу после обнаружения взлома. Таким образом, вы получите полный снимок состояния взломанного сайта для дальнейшего анализа.
Повышайте безопасность
После определения причины проблемы и вычистки всех файлов на сервере, важно устранить все уязвимости. Даже не думайте загружать новый набор файлов и восстановленную базу данных, пока не обеспечите надлежащим образом безопасность. Проверьте безопасность своего сайта и при необходимости усильте ее. Обновите уязвимый код, защитите важные файлы и заблокируйте подозрительных пользователей.
Помните, что 100% безопасности не существует, но можно добавить несколько слоев защиты и значительно повысить безопасность своего сайта.
Поделитесь тем, что вы узнали
Вам не нужно указывать какую-либо личную или конфиденциальную информацию, но можно рассказать другим о том, что произошло, и как вы исправили это. Ведь если это случилось с вами, то существует вероятность, что то же произойдет с другими.
5 главных признаков, что вас взломали, и три верных способа решить эту проблему
По статистике каждые 39 секунд в России происходит кибератака на незащищенные или недостаточно защищенные виртуальные данные. Ежедневно хакеры создают до 300 тысяч вредоносных программ, каждую минуту скачивают до 73 % полезной информации, и ежедневно взламывают около 30 тысяч сайтов.
Это не запугивание, не преувеличение, и не анонс фантастического фильма-утопии. Это наши нерадостные реалии. И если компании чаще всего действительно могут защитить свои базы данных усиленными брандмауэрами, то обычный пользователь часто оказывается беспомощным перед атакой хакеров, и даже не до конца и не сразу понимает, что именно происходит. Как понять, что вас взломали, как решить эту неприятную проблему и предотвратить ее, рассказывается в этой статье.
Ваш аккаунт живет своей жизнью – первый признак взлома
Основные признаки взлома
Даже профессионал далеко не всегда сразу может выявить атаку злоумышленника. Кстати, сама по себе атака – это еще не взлом, но уже достаточно тревожный сигнал. Ваш аккаунт кого-то интересует, а это действительно серьезно, даже если вы не высокопоставленный чиновник, владелец крупной компании или популярная знаменитость.
Попытаться скомпрометировать вашу учетную запись могут завистники, соседи или коллеги, бывшие партнеры, просто мелкие мошенники. Ведь у каждого сейчас есть банковские счета, так или иначе привязанные к электронным картам. А иногда хакеры просто устраивают травлю. Итак, поводом для беспокойства могут служить следующие признаки:
Кроме того любые сообщения, отзывы и лайки с вашего аккаунта, которые вы не отправляли, могут быть признаком взлома
Выше перечислены лишь наиболее частые и явные признаки незаконного проникновения в ваши учетные записи. Виртуальные мошенники находят массу способов если не выкачать из вас деньги, то сделать ваше существование во многом невыносимым.
Что можно сделать
В первую очередь следует сообщить о подозрительных манипуляциях администрации затронутого взломом интернет-сервиса. Как правило, у всех них есть собственная политика кибербезопасности, и они сделают все возможное, чтобы выяснить, куда ушла украденная информация. Если были выполнены финансовые операции, которых вы не совершали, денежные средства во многих случаях можно вернуть. Но приготовьтесь к тому, что подобная процедура займёт не одну неделю. Придется не только написать официальное заявление, но и активно взаимодействовать с правоохранительными органами.
Важно: при необъяснимой утечке денежных средств со счетов и карточек их нужно немедленно заблокировать. Сделать это можно в отделении банка или в системе интернет-банкинга.
Следующий важный шаг – обнулить все старые пароли и создать новые. Это самый простой и надежный способ восстановить доступ к своим учетным записям. Не лишним будет предупредить о случившемся своих знакомых и близких.
Важно : вы можете самостоятельно проверить, заходил ли кто-то еще кроме вас, в тот или иной аккаунт. Например, в Facebook в « Настройках » предусмотрен такой пункт, как « Безопасность ». Там вы можете просмотреть (в строке « Откуда вы вошли ») все устройства, с которых совершались входы с вашего аккаунта на другие сайты, а также их время. Если будут обнаружены незнакомые адреса и устройства, нажмите кнопку « Выйти » и немедленно обратитесь к администрации интернет-ресурса.
Как правило, наиболее популярные интернет-сервисы сами сообщают о неполадках и дают рекомендации по их устранению
Советы напоследок
Даже если вы никогда не сталкивались со взломом со стороны интернет-злоумышленников, разумным шагом будет перестраховаться и не допустить неприятных моментов. Все, что нужно для этого сделать – это максимально усложнить доступ к вашим аккаунтам, особенно тем, которые связаны с платежными картами и банковскими счетами. Одного пароля недостаточно. Рекомендуется также:
Грамотные, опытные пользователи никогда не используют один и тот же пароль для нескольких сайтов и меняют его примерно раз в месяц.
Важно : контролируйте информацию, которую выкладываете о себе и близких в Instagram или Facebook. Многие легкомысленные пользователи сами сообщают всему свету, где живут, отдыхают, учатся, работают, сколько зарабатывают и тратят. А чем больше у хакера личной информации о вас – тем легче взломать ваши аккаунты, не забывайте об этом.
Перечисленные выше несложные меры помогут свести к минимуму риск кибератак и интернет-мошенничества. В самом тяжелом случае пострадавшим от хакерского взлома приходится менять многие важнейшие данные, начиная от номера мобильного телефона и заканчивая номерами банковских карт.
Пожалуйста, оставляйте свои отзывы по текущей теме статьи. Мы крайне благодарны вам за ваши комментарии, лайки, дизлайки, подписки, отклики!
Что делать если взломали сайт?
Недавно попросили срочно восстановить сайт, который никак не восстанавливался. Бекапы не помогали. Работа была срочная, но не сложная — восстановить простенький сайт на Joomla. Сайт был восстановлен, и результатом работы, помимо работоспособности сайта, явилась некая памятка, т.к. после серфинга в сети оказалось, что подобная проблема весьма частая.
В связи с тем, что бекапы тоже оказались зараженными и поврежденными, было принято решение восстанавливаться по максимуму. Применялся самый простой метод: сравнение файловой структуры сайта с эталонной структурой чистого дистрибутива. Сразу же обращаю внимание на изобретательность хакеров: простое сравнение картинок показывает, что в корневом каталоге сайта оказалось много странных файлов, странность которых видна невооруженным глазом по их названию. Как видно, названия очень похожи на нужные и привычные, например, tmp.php, upload.php.
Здесь обращаю внимание на то, что структуру своего проекта нужно знать! Многие начинающие sitemap.xml сочтут за нужный (если вы сами не формировали карту сайта — откуда бы ей взяться?), так же как и, к примеру, файл upload.php. В данном случае это четко вредоносные файлы — вскрытие подтверждает.
Следующий момент, когда взломали сайт — эта та зараза, которую порождает занесенный вирус. 
В папке с модулями оказалось много папок с названиями, маскирующимися под правильные названия модулей. Стандартное название папки с модулями в Joomla имеет вид mod_название модуля: непонятные папки были сразу видны даже невооруженным глазом. Еще раз вспоминаем про необходимость знания структуры своего проекта.
После небольшого анализа функционала сайта было понятно, что вирус попал и расплодился через папку с картинками, доступ к которой по условиям сайта был у зарегистрированных пользователей. 
Из чего следует вывод: если вы разрешаете загрузку файлов через веб — обязательно вводите ограничения на типы и объём файлов. Например, файлам php в папке с изображениями совершенно делать нечего.
Чтобы не взломали сайт обращайте внимание на файлы с непонятными названиями и расширениями.
Размер возможного заражения: 
В одной из папок было создано почти 18 тысяч папок с вредоносным контентом. Это не предел. Даже если вирус не повреждает сайт, он очень быстро заполнит всё доступное дисковое пространство.
Поэтому, чтобы не хакнули сайт, помимо непонятных файлов, следует контролировать объём файлов. Вирус «побил» нужный файл framework.php 
Памятка
Используйте тестовый сайт
Если веб-проект серьезный, то обязательно следует использовать как тестовый, так и «боевой» сайт. При этом для тестового сайта лучше всего использовать систему контроля версий, например Git. Важно, чтобы не было двусторонней синхронизации: последняя рабочая версия на тестовой машине не загрузит заразу с боевого автоматом, и у вас всегда будет эталон.
Локальные бекапы
Примечание: если сайт построен на какой-нибудь CMS, рекомендуется иметь не только бекапы на сервере, а ещё и локальную версию этого бекапа, с которой можно сравнивать, и которая не может быть заражена извне. Такое же правило касается файлов самой системы — её, в крайнем случае, можно скачать с официального сайта.
Ограничивайте загрузку файлов
Для того, чтобы не взломали сайт не забывайте включать проверку на типы загружаемых пользователями файлов, ограничения на загрузку файлов и права на папки. Обычно сами CMS-системы уже отлажены отноcительно своей собственной безопасности, а вот веб-мастера часто сами оставляют глупые дыры. Подобные ограничения можно делать как в CMS, так и в настройках хостинга. В особо продвинутых системах можно подключать проверку по хеш-сумме.
Используйте мониторинг
Если есть хоть малейшее подозрение, что сайтом могут заинтересоваться злоумышленники, настоятельно рекомендуется включать систему мониторинга, в которую входит:
Это рабочий минимум, о котором следует постоянно помнить, но также это те грабли, на которые постоянно наступают начинающие разработчики.
Для начинающих: профессия «Веб-разработчик».
Недавно попросили срочно восстановить сайт, который никак не восстанавливался. Бекапы не помогали. Работа была срочная, но не сложная — восстановить простенький сайт на Joomla. Сайт был восстановлен, и результатом работы, помимо работоспособности сайта, явилась некая памятка, т.к. после серфинга в сети оказалось, что подобная проблема весьма частая.
В связи с тем, что бекапы тоже оказались зараженными и поврежденными, было принято решение восстанавливаться по максимуму. Применялся самый простой метод: сравнение файловой структуры сайта с эталонной структурой чистого дистрибутива. Сразу же обращаю внимание на изобретательность хакеров: простое сравнение картинок показывает, что в корневом каталоге сайта оказалось много странных файлов, странность которых видна невооруженным глазом по их названию. Как видно, названия очень похожи на нужные и привычные, например, tmp.php, upload.php.
Здесь обращаю внимание на то, что структуру своего проекта нужно знать! Многие начинающие sitemap.xml сочтут за нужный (если вы сами не формировали карту сайта — откуда бы ей взяться?), так же как и, к примеру, файл upload.php. В данном случае это четко вредоносные файлы — вскрытие подтверждает.
Следующий момент, когда взломали сайт — эта та зараза, которую порождает занесенный вирус.
В папке с модулями оказалось много папок с названиями, маскирующимися под правильные названия модулей. Стандартное название папки с модулями в Joomla имеет вид mod_название модуля: непонятные папки были сразу видны даже невооруженным глазом. Еще раз вспоминаем про необходимость знания структуры своего проекта.
После небольшого анализа функционала сайта было понятно, что вирус попал и расплодился через папку с картинками, доступ к которой по условиям сайта был у зарегистрированных пользователей.
Из чего следует вывод: если вы разрешаете загрузку файлов через веб — обязательно вводите ограничения на типы и объём файлов. Например, файлам php в папке с изображениями совершенно делать нечего.
Чтобы не взломали сайт обращайте внимание на файлы с непонятными названиями и расширениями.
Размер возможного заражения:
В одной из папок было создано почти 18 тысяч папок с вредоносным контентом. Это не предел. Даже если вирус не повреждает сайт, он очень быстро заполнит всё доступное дисковое пространство.
Поэтому, чтобы не хакнули сайт, помимо непонятных файлов, следует контролировать объём файлов. Вирус «побил» нужный файл framework.php
Памятка
Используйте тестовый сайт
Если веб-проект серьезный, то обязательно следует использовать как тестовый, так и «боевой» сайт. При этом для тестового сайта лучше всего использовать систему контроля версий, например Git. Важно, чтобы не было двусторонней синхронизации: последняя рабочая версия на тестовой машине не загрузит заразу с боевого автоматом, и у вас всегда будет эталон.
Локальные бекапы
Примечание: если сайт построен на какой-нибудь CMS, рекомендуется иметь не только бекапы на сервере, а ещё и локальную версию этого бекапа, с которой можно сравнивать, и которая не может быть заражена извне. Такое же правило касается файлов самой системы — её, в крайнем случае, можно скачать с официального сайта.
Ограничивайте загрузку файлов
Для того, чтобы не взломали сайт не забывайте включать проверку на типы загружаемых пользователями файлов, ограничения на загрузку файлов и права на папки. Обычно сами CMS-системы уже отлажены отноcительно своей собственной безопасности, а вот веб-мастера часто сами оставляют глупые дыры. Подобные ограничения можно делать как в CMS, так и в настройках хостинга. В особо продвинутых системах можно подключать проверку по хеш-сумме.
Используйте мониторинг
Если есть хоть малейшее подозрение, что сайтом могут заинтересоваться злоумышленники, настоятельно рекомендуется включать систему мониторинга, в которую входит:
Это рабочий минимум, о котором следует постоянно помнить, но также это те грабли, на которые постоянно наступают начинающие разработчики.
Для начинающих: профессия «Веб-разработчик».
Аккаунт взломали — что делать?
Что делать, если ваш аккаунт угнали: рассказываем, как не растеряться и свести ущерб к минимуму.
У большинства из нас много аккаунтов — в соцсетях, электронной почте, всевозможных сервисах и онлайн-магазинах. Узнать, что какой-то из них угнали — тот еще стресс. Особенно если вы активно пользуетесь этим аккаунтом: общаетесь с друзьями, делаете покупки, храните фотографии из поездок…
Но вместо того чтобы бегать по потолку, в этот момент важно сконцентрироваться на том, чтобы свести к минимуму ущерб от взлома — постараться спасти свои деньги и данные, защитить друзей от мошенников и попытаться вернуть контроль над учетной записью. Рассказываем, что надо делать.
Что делать, если не получается войти в аккаунт
Часто пользователь понимает, что его взломали, по тому, что аккаунт вдруг перестает принимать его пароль. Во многих случаях угонщики первым делом его меняют, чтобы лишить жертву доступа к учетке и спокойно орудовать в ней.
Но даже в такой ситуации вы можете многое сделать. Так что не паникуйте, а глубоко вдохните, выдохните — и действуйте. Важно сделать все быстро и правильно расставить приоритеты.
Что делать, если пришло уведомление от сервиса о подозрительной активности
Многие интернет-сервисы предупреждают пользователей о важных действиях с их аккаунтами. Они присылают уведомления, когда вы (или не вы) меняете пароль, привязываете к учетной записи новый телефон или электронный адрес, заходите с нового устройства или из незнакомого места. Если вам пришло такое письмо, а вы ничего не делали, это повод для беспокойства.
Что делать, если пришло письмо от взломщиков с требованием выкупа
Иногда вам могут написать сами взломщики. Якобы они проникли в ваш аккаунт, заразили компьютер страшным зловредом, записали на веб-камеру компромат, скопировали переписку и так далее. Злоумышленники угрожают опубликовать собранные данные и требуют выкуп.
На самом деле вас, скорее всего, никто не взломал, а вымогательское письмо мошенники просто рассылают на все подряд адреса из какой-нибудь спам-базы. Если хотите перестраховаться, то можете все-таки поменять пароль от аккаунта, который якобы взломали, — делать это время от времени в любом случае полезно. Опять же, если боитесь забыть новый пароль, установите Kaspersky Password Manager, он все за вас запомнит.
Как не стать жертвой взломщиков
Конечно, лучше всего, когда мошенники до аккаунтов просто не добираются. Поэтому, даже если вас не взломали, убедитесь, что ваши учетки как следует защищены: