Physical Address

304 North Cardinal St.
Dorchester Center, MA 02124

Тематические исследования: исправление взломанных сайтов

Каждый день тысячи веб-сайтов подвергаются взлому. Взломанные сайты могут нанести вред пользователям, размещая вредоносное программное обеспечение, собирая личную информацию или перенаправляя их на сайты, которые они не собирались посещать. Веб-мастера хотят быстро исправлять взломанные сайты, но, к сожалению, восстановление после взлома может быть сложным процессом.

Мы пытаемся упростить процесс восстановления после взлома для веб-мастеров с помощью таких функций, как вопросы безопасности, справка по взломанным сайтам и раздел нашего форума только для взломанных сайтов. Недавно мы поговорили с двумя веб-мастерами, у которых были взломанные сайты, чтобы узнать больше о том, как они смогли исправить свои сайты. Мы делимся их историями в надежде, что они могут подсказать идеи другим веб-мастерам, ставшим жертвами взлома. Мы также используем эти истории и другие отзывы для улучшения нашей документации по взломанным сайтам, чтобы упростить процесс для всех в будущем.

Пример № 1: веб-сайт ресторана с несколькими взломанными скриптами

Веб-сайт ресторана, использующий WordPress, получил сообщение от Google в своей учетной записи Webmaster Tools, предупреждающее их о том, что их сайт был изменен хакерами. В целях защиты пользователей Google веб-сайт был помечен как взломанный в результатах поиска Google. Веб-мастер сайта Сэм просмотрел исходный код и заметил на сайте множество незнакомых ссылок с фармацевтическими терминами, такими как «виагра» и «сиалис». Она также заметила много страниц, где в теги meta description (в HTML) добавлялся контент, такой как «купить valtrex во Флориде». Также были скрытые div теги (также в HTML) многих страниц, которые ссылались на множество сайтов. Ни одна из этих ссылок не была добавлена Сэмом.

Сэм удалила весь найденный ею взломанный контент и подала запрос на повторное рассмотрение. Запрос был отклонен, но в сообщении, которое она получила от Google, ей посоветовали проверить, нет ли незнакомых скриптов в файлах any PHP (или любых других файлах сервера), а также изменений в .htaccess файле. Эти файлы, вероятно, содержат скрипты, добавленные хакерами, которые модифицируют сайт. Эти скрипты обычно показывают взломанный контент только поисковым системам, скрывая его от обычного пользователя. Сэм проверила все .php файлы и сравнила их с чистыми копиями, которые были у нее в резервной копии. Она обнаружила, что к ней добавлено новое содержимое footer.phpindex.php и functions.php. Когда она заменила эти файлы чистыми резервными копиями, она больше не могла найти никакого взломанного контента на своем сайте. Когда она подала еще один запрос на пересмотр, она получила ответ от Google, уведомляющий ее о том, что на ее сайте больше нет взломанного контента!

Несмотря на то, что Сэм удалила взломанный контент со своего сайта, она знала, что ей нужно будет продолжать защищать свой сайт от будущих атак. Она выполнила следующие действия, чтобы обеспечить безопасность своего сайта в будущем:

  • Поддерживайте CMS (системы управления контентом, такие как WordPress, Joomla, Drupal и т.д.) в актуальном состоянии, используя самую последнюю версию. Убедитесь, что плагины также обновлены.
  • Убедитесь, что учетная запись, используемая для доступа к административным функциям CMS, использует сложный и уникальный пароль.
  • Если CMS поддерживает это, включите двухэтапную проверку для входа в систему. (Это также можно назвать двухфакторной аутентификацией или двухэтапной аутентификацией.) Это также рекомендуется для учетной записи, используемой для восстановления пароля. Большинство провайдеров электронной почты, таких как Google, Microsoft, Yahoo! все это поддерживают!
  • Убедитесь, что установленные плагины и темы взяты из надежного источника — пиратские плагины или темы часто могут содержать код, который еще больше упрощает проникновение хакеров!

Пример № 2: профессиональный веб-сайт с множеством взломанных страниц, которые трудно найти

Владелица малого бизнеса по имени Мария, которая также управляет собственным веб-сайтом, получила в своих инструментах для веб-мастеров сообщение о том, что ее сайт был взломан. В сообщении приведен пример страницы, добавленной хакерами: https://example.com/where-to-buy-cialis-over-the-counter/. Она поговорила со своим хостинг-провайдером, который просмотрел исходный код на домашней странице, но не смог найти ни одного фармацевтического ключевого слова. Когда хостинг-провайдер посетил страницу https://example.com/where-to-buy-cialis-over-the-counter/, он вернул страницу с ошибкой. Мария также приобрела сервис сканирования вредоносных программ, но сервис не смог найти никакого вредоносного контента на ее сайте.

Затем Мария зашла в «Инструменты для веб-мастеров» и использовала инструмент «Выборка как Google» для примера URL, предоставленного Google (https://example.com/where-to-buy-cialis-over-the-counter/), который не вернул содержимого. Сбитая с толку, она подала запрос на повторное рассмотрение и получила сообщение об отказе, в котором ей посоветовали сделать две вещи:

  • 1. Проверьте версию ее сайта, отличную от www, поскольку хакеры часто пытаются скрыть содержимое в папках, которые веб-мастер может не заметить.

Хотя может показаться, что https://example.com и https://www.example.com — это один и тот же сайт, на самом деле Google рассматривает их как разные сайты. https://example.com называется «корневым доменом», в то время как https://www.example.com называется поддоменом. Мария https://www.example.com подтвердила, но не https://example.com подтвердила, что важно, потому что страницы, добавленные хакерами, не были www-страницами, такими как https://example.com/where-to-buy-cialis-over-the-counter/. После подтверждения https://example.com она смогла успешно просмотреть взломанный контент по предоставленному URL-адресу с помощью инструмента Fetch as Google в инструментах для веб-мастеров.

  • 2. Проверьте ее .htaccess файл на наличие новых правил.

Мария поговорила со своим хостинг-провайдером, который показал ей, как получить доступ к ее .htaccess файлу. Она сразу заметила, что в ее .htaccess файле было какое-то странное содержимое, которое она не добавляла:

<ifmodule mod_rewrite.c="mod_rewrite.c">
RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} (google|yahoo|msn|aol|bing) [OR]
RewriteCond %{HTTP_REFERER} (google|yahoo|msn|aol|bing)
RewriteRule ^([^/]*)/$ /main.php?p=$1 [L]
</ifmodule>
  1. В mod_rewrite правило, которое вы видите выше, было введено хакером и перенаправляет всех, кто приходит с определенных поисковых систем , а также поисковых роботов, на main.php, который генерирует весь взломанный контент. Также возможно, что эти правила могут перенаправлять пользователей на доступ к сайту с мобильных устройств . В тот же день она также увидела, что недавнее сканирование на вредоносное ПО обнаружило подозрительный контент в файле main.php. Кроме того, она также заметила неизвестного пользователя в разделе FTP «пользователи» ее программного обеспечения для разработки веб-сайта.

Она удалила main.php файл, .htaccess файл и удалила неизвестного пользователя из своей учетной записи пользователей FTP, и ее сайт больше не был взломан!

Шаги по предотвращению взлома в будущем

  • Избегайте использования FTP при передаче файлов на свои серверы. FTP не шифрует никакой трафик, включая пароли. Вместо этого используйте SFTP, который зашифрует все, включая ваш пароль, в качестве защиты от перехвата сетевого трафика.
  • Проверьте разрешения для конфиденциальных файлов, таких как .htaccess. Ваш хостинг-провайдер может помочь вам, если вам понадобится помощь. Файл .htaccess можно использовать для улучшения и защиты вашего сайта, но его также можно использовать для вредоносных взломов, если они смогут получить к нему доступ.
  • Будьте бдительны и ищите новых и незнакомых пользователей в своей административной панели и в любом другом месте, где могут быть пользователи, способные вносить изменения в ваш сайт.

Мы надеемся, что ваш сайт никогда не взломают, но если это произойдет, у нас есть много ресурсов для взломанных веб-мастеров на нашей странице Справки по взломанным сайтам. Если вам нужна дополнительная помощь или вы хотели бы поделиться собственными советами, вы можете опубликовать их на нашем форуме помощи веб-мастерам. Если вы публикуете сообщение на форуме или отправляете запрос на пересмотр своего сайта, пожалуйста, укажите #NoHacked.