Блог сайта StopVirus.by

Блог сайта StopVirus.by

Сайт взломан. Кто виноват и что делать?

Сайт взломан. Кто виноват и что делать?

Ежедневно взламывают тысячи сайтов. Редко когда владелец грамотно оценивает риски и осознанно относится к проблеме безопасности своего сайта. Обычно до момента взлома сайт считается неуязвимым, а у владельца остается 100% уверенность, что беда обойдет его стороной.

Сегодня мы поговорим о том, что делать, если сайт взломали или на сайте появился вирус (последнее всегда является следствием взлома). А также поделимся простыми и эффективными советам по минимизации рисков взлома.

Взлом сайта могут обнаружить по прямым или косвенным признакам как владелец сайта, так и посетители или хостинг-провайдер. Часто при взломе сайта владелец начинает обвинять хостинг в некачественном администрировании сервера или недостаточной защите аккаунта. Не нужно спешить искать крайних, так как практика показывает, что подавляющее большинство взломов происходит как раз по вине владельца сайта, который не следовал элементарным правилам безопасной работы в сети. Более того, в случае проблем с сайтом правильная организация взаимодействия с хостингом поможет владельцу оперативно решить проблему и избежать повторного взлома, так как хостер заинтересован в бесперебойной работе доверенного ему сайта и его безопасности.

Итак, если ваш сайт взломали, незамедлительно выполните следующие действия:

1. Соберите информацию о взломе, чтобы провести анализ и разобраться, как именно это произошло:

  •  запросите в тех поддержке хостинга журналы (логи) веб-сервера за весь доступный временной интервал (существуют два вида логов: access_log и error_log),
  •  запросите в тех поддержке хостинга журнал (лог) ftp-сервера,
  •  опишите проблему с сайтом, чтобы зафиксировать дату и, желательно, время. Также зафиксируйте все найденные сбои в работе (такие как замена главной страницы; спам-ссылки и страницы, на которых они появились; мобильный редирект; срабатывание десктопного антивируса или антивируса поисковой системы).

На основе собранной информации вы можете самостоятельно определить способ взлома. Например, по дате изменений файла .htaccess и анализу ftp лога можно понять, что взлом сайта произошел по ftp. Это значит, что у вас украли пароль от ftp. Если самостоятельно провести анализ и диагностику вы не можете, обратитесь к специалистам по лечению и защите сайтов.

2. Проверьте все рабочие компьютеры, с которых выполнялось подключение к сайту, коммерческим антивирусом с обновляемыми базами.

3. Смените пароль от хостинга, от ftp и от административной панели сайта. Пароли должны быть сложными, содержать заглавные, маленькие буквы и цифры, а также быть длинными (не менее 7 символов).

4. Если сайт перестал работать, восстановите его, используя резервную копию.

После того как работа сайта восстановлена важно выполнить ряд действий для защиты сайта от взлома:

1. Выполните сканирование сайта на наличие хакерских скриптов. Удалите найденные вредоносные скрипты.

2. Обновите версию cms до последней доступной на сайте официального разработчика. Если выходили обновления и патчи для модулей и плагинов cms, их также необходимо установить.

3. Установите защиту на сайт:

  • установите плагины мониторинга сайта и контроля за изменениями файлов,
  • закройте доступ в админ-панель сайта дополнительным паролем или авторизацией по ip адресу,
  • сделайте все системные файлы и папки, которые не изменяются, ”только для чтения”,
  • отключите ненужные php функции в файле php.ini,
  • запретите вызов php скриптов в папках загрузки файлов, кэш- и временных папках.

Данные меры сделают невозможным эксплуатацию уязвимостей скриптов и существенно повысят уровень безопасности вашего сайта.

Если самостоятельно выполнить данные действия вы затрудняетесь, обратитесь к специалистам по лечению и защите сайтов.

Важно отметить, что выполнение перечисленных действий не защитит сайт от взлома на 100%, так как всегда остается “человеческий фактор” в лице администраторов сайта, контент-менеджеров, seo-специалистов и веб-разрабочиков, которым для выполнения определенных работ предоставляется доступ к сайту или хостингу. Вам, как владельцу сайта, нужно грамотно организовать взаимодействие с этими специалистами, чтобы минимизировать риски взлома и заражения сайта:

1. Разграничьте и ограничьте административный доступ к сайту. У каждого специалиста должен быть свой аккаунт с необходимым минимальным набором привилегий. Действия администраторов должны логироваться (записываться в журнал действий). То же касается и доступов по ftp/ssh к хостингу.

2. Установите сложные пароли и регулярно меняйте их для администраторов сайта и хостинга.

3. Используйте безопасное подключение к сайту (sftp вместо ftp)

4. Все специалисты, которые работают с сайтом, должны гарантировать отсутствие вирусов на своих рабочих компьютерах и использовать антивирусные решения с регулярно обновляемыми базами при работе в сети.

Помните, что вопрос безопасности сайта требует постоянного внимания, а защита сайта не бывает удобной, так как приходится постоянно искать баланс между способами эффективной защиты сайта и удобством его администрирования. Но даже простое следование описанным выше рекомендациям значительно снижает риск взлома и заражения сайта.

Материал подготовлен специалистами компании «СтопВирус», которую мы часто рекомендуем нашим Клиентам при возникновении проблем. Об услугах компании вы можете узнать на их сайте, а в комментариях задать им ваши вопросы.

С уважением Компания СтопВирус StopVirus.by


Написание эффективного итоговый отчет

Тест на проникновение или пентест является типичным оценки безопасности, что процесс, чтобы получить доступ к определенным информационным ресурсам (экв. компьютерных систем, сетевой инфраструктуры и приложений). Тест на проникновение имитирует атаку внутренне или внешне нападавших, который имеет целью найти слабые места безопасности или уязвимости и оценки потенциальных последствий и рисков следует этих уязвимостей.
Вопросы безопасности нашли с помощью теста на проникновение представляются владельца, владельца или владельца риска. Эффективный тест на проникновение будет поддерживать эту информацию с точной оценки потенциального воздействия на организацию и ряд технических и процедурных гарантий должно планироваться и проводиться с целью снижения рисков.
Много тестеров на самом деле очень хорошие в техническом, так как они имеют навыки, необходимые, чтобы выполнить все тесты, но их отсутствие отчета написание методологии и подхода, которые создают очень большой пробел в цикл тестирования на проникновение. Тест на проникновение бесполезно, не что-то материальное подарить клиенту или руководству. Составление отчетов является важной частью для любого поставщиками услуг (экв. ИТ-услуги/консультации). Отчет должен подробно указать результаты испытания и, если вы делаете рекомендации, документ рекомендации для обеспечения повышенного риска систем.
Целевая аудитория доклада, тестирование на проникновение будет меняться, технический отчет будут читать его или любой ответственной информационной безопасности людей, а резюме будет обязательно прочитать руководство.
Написание эффективного доклад тестирование на проникновение-это искусство, которое необходимо изучать и убедиться, что отчет будет донести нужную информацию до целевой аудитории.

 

С уважением компания СтопВирус StopVirus.by


КОМПАНИЯ WORDFENCE НАШЛА БОТНЕТ ИЗ WORDPRESS-САЙТОВ, СОЗДАННЫЙ ОДНИМ ЧЕЛОВЕКОМ

Вирусы на сайте

Специалисты компании WordFence обнаружили ботнет, состоящий из WordPress-сайтов и управляемый посредством IRC. Для атак злоумышленник применял скрипт на 25 000 строк кода, а после успешной атаки мог использовать зараженные ресурсы для рассылки спама или DDoS-атак. Исследователи WordFence решили разобраться, кому принадлежит ботнет и насколько велики масштабы проблемы.

 

Среди 25 000 строк кода обнаружились практически все необходимые для начала расследования детали конфигурации, такие IP-адреса IRC-серверов, порты и имя канала: #1x33x7 (см. скриншот выше). Подключиться к IRC исследователям удалось без проблем, а дальше настал черед хешированного пароля оператора ботнета, скрывавшегося под ником Bloodman, который тоже фигурировал в коде:

var $admins = array
(
'LND-Bloodman' => '2cbd62e679d89acf7f1bfc14be08b045'
// pass = "lol_dont_try_cracking_12char+_:P"
// passes are MD5 format, you can also have multiple admins
);

Дело в том, что данный парольный хеш (2cbd62e679d89acf7f1bfc14be08b045) использовался при отправке каждой новой команды ботнету через IRC-чат, так что взломав его, исследователи перехватили бы управление. Поискав этот хеш в Google, специалисты обнаружили, что он известен с 2012 года, уже тогда администраторы взломанных сайтов обнаруживали чужой код и просили помощи во взломе пароля, хотя и безрезультатно.

У исследователей была  фора в данном вопросе, так как они наблюдали за IRC. Как только Bloodman посетил канал и отдал ботам команду, исследователи перехватили его пароль в виде открытого текста. В блоге приведено только его начало: 1x33x7.0wnz-your.************. Исследователи немедленно изменили пароль и получили полный доступ к управлению зараженными машинами.

botcode

Выяснилось, что в том же IRC-канале можно обнаружить и список зараженных сайтов, – они «присутствовали» в чате в виде обычных пользователей, имена которых содержали информацию о скомпрометированной платформе. Среди взломанных сайтов были самые разные решения, от Apache серверов на FreeBSD, до Windows Server 2012 и Windows 8. Также среди пользователей отыскались два аккаунта оператора ботнета: LND-Bloodman и da-real-LND.

nicklist

При помощи простой команды whois исследователи узнали, что Bloodman использует немецкий IP-адрес, а также поняли, что имя канала (1x33x7) является также вторым никнеймом оператора ботнета, которым тот пользуется в социальных сетях: Twitter, YouTube и YouNow. Изучив социальные сети, специалисты убедились в том, что Bloodman действительно из Германии: на всех ресурсах он использовал немецкий язык. Хуже того, на YouTube исследователи нашли видео, где Bloodman похваляется своим ботнетом, что помогло окончательно связать реального человека с личностью оператора. Также исследователи пишут, почерпнули из открытых источников немало данных, к примеру, теперь им известно, что хакер любит фейерверки, и они знают, какую машину он водит.

whois

Хотя в руках исследователей оказалась исчерпывающая информация о ботнете и его владельце, они не стали прекращать работу ботнета, так как по закону они не имели права хакать хакера и, тем более, вмешиваться в работу его системы. Попытки произвести очистку зараженных машин также могут быть опасны, потому как представители WordFence считают, что могут не видеть всей картины и упустить из виду что-то важное. К тому же исследователи полагают, что даже отключение всех командных серверов приведет лишь к тому, что Bloodman заразит новые сайты и запустит новый управляющий сервер.

irc_welcome-1040x318

Также исследователи пока решили не сообщать о ботнете правоохранительным органам, так как ботнет, по их подсчетам, насчитывает всего около сотни сайтов, а Bloodman инициирует порядка 2000 новых атак в неделю, и почти все они успешно блокируются системами защиты. По мнению представителей WordFence, Bloodman и зараженным им ресурсы не стоят тех усилий, которые потребуются от полиции и представителей WordFence для его ареста. Эксперты сочли, что наблюдать и изучать тактику хакера в данном случае будет полезнее. Впрочем, пользователи в комментариях уже активно оспаривают и критикуют позицию исследователей.


Компания СтопВирус использует технологии SSL

 

 

 

 

 

 

 

 

 

Компания СТопВирус безопасность

СтопВирус SSL.

Компания СтопВирус заботится о конфиденциальности данных своих пользвателей поэтому переезжает на безопасный протокол SSL

Что такое SSL (англ. secure sockets layer — уровень защищённых cокетов) — криптографический протокол, который подразумевает более безопасную связь.Блокирует попытки кражи данных через обратную связь. И предостовляет защищенное соеденение с сайтом.
Во время перехода на новый протокол возможны перебои работы сайта приносим свои извинения

С уважение компания СтопВирус stopvirus.by


Акция от StopVirus.by на тарифный план «Продвинутый»

Акция от StopVirus.by на тарифный план «Продвинутый» Лови момент.

Удаление вирусов с сайта

Для получение скидки на очистку сайта от вирусов, восстановление сайта, а так же полная зашита веб ресурса.

Предоставляется для постоянных клиентов с 22.08.2016 по 31.08.2016
Для получение скидки просто обратитесь в компанию StopVirus.by если ваши контакты присутствуют в базе. Вам автоматически снизят цену с 140 у.е. до 100 у.е. тарифный план «Продвинутый» внимание срок акции ограничен.

С уважением StopVirus.by


Лечение сайта от вирусов (Бесплатно) Это не миф

Компания СтопВирус может помочь вам устранить бесплатно проблемы с вирусами на сайте.

Бесплатная очистка сайта

Данные услуги распространяются чаще всего на сайты визитки на благотворительные фонды.

Предоставлены услуги уже более 50 организациям на бесплатной основе. Пробуйте и вы оставьте заявку на сайте. Если вы нам понравитесь мы вам поможем бесплатно с уважением СтопВирус.

Так же происходят постоянные скидки и акции для учреждений образовательного типа.


Работы на сервисе StopVirus.by

Работы на сервисе StopVirus.by

С 28.07.2016 по 01.08.2016 возможно затруднен отклик техподдержки.

ОЧистка сайта от вирусов StopVirus.by

Так же может увеличиться отклик на услуги приносим свои извинения СтопВирус


В РУНЕТЕ БУДУТ АВТОМАТИЧЕСКИ ИСКАТЬ И РАЗДЕЛЕГИРОВАТЬ ФИШИНГОВЫЕ ДОМЕНЫ

phishing-1000x539

Вскоре в рунете должна заработать система автоматического поиска фишинговых сайтов, работающих в доменных зонах .ru и «.рф». Этим займется Центр реагирования на компьютерные инциденты Ru-Cert. Домены, распространяющие опасный контент умышленно, будут разделегированы.

Газета «Известия» цитирует слова представителя Ru-Cert Дмитрия Ипполитова:

«Наша задача — не ждать, пока придет жалоба от пользователя, который уже пострадал, — зашел на поддельную страницу, например, Сбербанка и ввел там свои персональные данные, после чего номер его кредитки утек к мошенникам, — а пытаться самим такие страницы находить. Наша система анализирует некоторые параметры веб-страницы и пытается определить, является это фишингом или нет».

Разумеется, вредоносный контент может появиться на сайте по ряду разных причин. Домен вовсе не обязательно должен принадлежать злоумышленникам, — ресурс может быть попросту взломан. В таких ситуациях представители Ru-Cert сообщат о найденной проблеме хостеру или напрямую владельцу сайта. Как правило,  администраторы ресурсов оперативно реагируют на такие сообщения и очищают сайт. Однако если сайт был умышленно создан для фишинговых атак, Ru-Cert будет действовать жестче:

«Например, был создан поддельный сайт Сбербанка, адрес которого был написан с одной измененной буквой, — рассказывает Ипполитов. — Такой домен можно сразу разделегировать, так как он специально зарегистрирован для противоправной деятельности».

Напомню, что согласно пункту 5.5 «Правил регистрации доменных имен в зоне .ru и «.рф», делегирование домена может быть прекращено на основании письменного решения руководителя органа, осуществляющего оперативно-розыскную деятельность. Такими полномочиями обладают Управление «К» МВД и Генпрокуратура.

Право на разделегацию без суда также имеют четыре негосударственные организации, заключившие соглашение с КЦ: «Лаборатория Касперского», Group-IB, Региональная общественная организация «Центр интернет-технологий»(РОЦИТ), а также НП «Лига безопасного интернета». В «Правила регистрации» был добавлен пункт 5.7 — регистратор вправе прекратить делегирование домена при получении «мотивированного обращения организации», указанной КЦ как компетентной в определении нарушений в интернете, если обращение содержит информацию, что домен используется для фишинга, распространения вирусов или материалов с детской порнографией.

Гендиректор Координационного центра национального домена сети интернет (КЦ) Андрей Воробьев уверен, что если поиск будет запущен, то Ru-Cert станет первой аккредитованной организацией, которая включила автоматизированную систему поиска фишинга.

Источник на рынке поисковых сетей рассказал журналистам «Известий», что создать свой поиск с нуля — это очень дорогое занятие и компаний, которые в России могут его создать, очень мало. Скорее всего, речь идет о создании системы на базе популярной общедоступной поисковой системы, например «Яндекс». Самое главное, что нужно будет сделать, — это научить систему понимать, что является фишингом, а что нет. Для этого понадобится большая база


ОДИН ИЗ КРУПНЕЙШИХ БОТНЕТОВ В МИРЕ ПРОПАЛ С РАДАРОВ

botnet-1000x462

Исследователи ряда компаний обратили внимание, что в начале июня 2016 года практически прекратилось распространение малвари Dridex и Locky. Чем именно обусловлено столь значительное снижение вредоносного трафика, пока неясно, но эксперты утверждают, что один из крупнейших ботнетов мира, по разным данным насчитывавший от пяти до шести миллионов машин, попросту исчез.

Разрозненные наблюдения специалистов собрали в единую картину журналисты издания Vice Motherboard. Они же цитируют слова исследователей компании FireEye, которые, в числе прочих, заметили перемены, произошедшие с ландшафтом сетевых угроз:

«Пока мы можем сказать, что согласно нашим наблюдениям, спам-кампании, через которые распространялись Dridex и Locky, сошли на нет 1 июня 2016 года. Пока мы не можем подтвердить, что деятельность [стоявшего за ними] ботнета была прекращена».

Напомню, что Dridex – это давно известный банковский троян, долгое время распространявшийся одноименным ботнетом. Locky — один из наиболее опасных на сегодняшний день шифровальщиков, появившийся в феврале 2016 года. Упомянутый ботнет еще в марте текущего года переключился на распространение вымогателя, и исследователям удалось связать эти вредоносные кампании  воедино.

В свою очередь, малварь Necurs тоже известна специалистам давно, и одноименный ботнет также не является новостью для исследователей. К примеру, эксперты MalwareTech пишут, что операторами обоих ботнетов выступает так называемая Dridex Group, и если Dridex используется для выполнения серьезных задач и шпионажа, то Necurs в основном ответственен за спам-рассылки Locky и Dridex.

Сейчас исследователи наблюдают фактическое исчезновение этой сложной инфраструктуры, которая, по оценкам MalwareTech, объединяла в себе 5/6 всех ботнет-мощностей в интернете, то есть насчитывала 6,1 млн ботов.

Независимый британский исследователь Кевин Бимонт (Kevin Beaumont), ранее изучавший вымогателя Locky, тоже заметил исчезновение ботнета. Он соглашается с тем, что Necurs был настоящим левиафаном, и пишет, что ботнет насчитывал порядка 5 млн зараженных устройств.

«Мы наблюдаем значительное падение вредоносного трафика, Locky пропал с радаров почти полностью», — сообщил Бимонт журналистам.

Исследователь добавил, что управляющие серверы хакеров не подают никаких признаков жизни с 1 июня 2016 года. Не совсем ясно, что теперь будет с теми, кто пострадал от атак шифровальщика Locky. Если инфраструктура злоумышленников действительно ушла в глубокий оффлайн, платить выкуп некому, и никаких ключей для расшифровки файлов не будет.

Что именно могло произойти, эксперты пока только предполагают. Правоохранительные органы ранее уже пытались прекратить деятельность ботнета Necurs. Предполагаемый лидер хакерской группы, стоявшей за созданием Dridex, Андрей Гинкул, был задержан на Кипре в сентябре 2015 года, а сейчас уже экстрадирован в США. Однако это не помогло, ботнет какое-то время испытывал сложности, но, видимо, продолжил работу под руководством других людей, группа лишь «сменила почерк».

В связи с «пропажей» Necurs, исследователей заинтересовала недавняя совместная операция ФСБ и МВД России. 1 июня 2016 года, при поддержке специалистов «Лаборатории Касперского» и Сбербанка, были задержаны более 50 человек из 15 регионов России. В официальных пресс-релизах сообщалось, что все эти люди занимались разработкой банковского трояна Lurk, благодаря которому они вывели со счетов российских финансовых учреждений более 3 млрд рублей за последние пять лет.

Однако версию о том, что авторы Lurk могли быть связаны с крупнейшим ботнетом мира, отвергают эксперты компании Group-IB, которая сотрудничает с представителями правоохранительных органов.

«Мы не видим связи между исчезновением ботнета Necurs и недавними арестами в России», — объясняет представитель Group-IB. — «Аресты 50 хакеров были произведены из-за их связи с группировкой Lurk, которая похищала средства у российских и украинских банков».

Специалисты компании Proofpoint тоже опубликовали заметку о происходящем. Они согласны с коллегами: большая часть инфраструктуры Necurs определенно не работает. Однако исследователи Proofpoint резонно отмечают, что это вовсе не означает, что Necurs окончательно «мертв». Ботнет известен благодаря своей P2P инфраструктуре и использованию механизма DGA (Domain Generation Algorithm), что позволяет злоумышленникам в любой момент вернуть себе контроль над Necurs и возобновить работу.

Ссылка на статью


АПДЕЙТ ДЛЯ DRUPAL УСТРАНЯЕТ ДВЕ СЕРЬЁЗНЫЕ УЯЗВИМОСТИ

what-is-drupal_0-1000x572

Очередные обновления, выпущенные для Drupal 7 и Drupal 8, устраняют серьёзные уязвимости в популярной системе управления контентом, при помощи которых злоумышленники могли обойти встроенные средства ограничения доступа и повысить свои привилегии.

Исправленная уязвимость в Drupal 7 касалась модуля User и считалась «умеренно критической». Она позволяла зарегистрированному пользователю присвоить себе любые роли на сайте вплоть до администратора. Для этого ему следовало добиться встраивания в сайт кода, который запускает перегенерацию формы редактирования пользовательского профиля во время её сохранения.

Другая уязвимость скрывалась в модуле Views, который служит для создания, редактирования и отображения списков контента. Ошибке, позволявшей обойти ограничения доступа, подвержены и седьмая, и восьмая версия Drupal, но угроза, которую она создавала, относительно невелика.

Из-за этой ошибки пользователи могли получить доступ к информации из модуля Statistics даже в том случае, если им это запрещено. Это происходило в видах, которые настроены на отображение поля «Статистика контента» (например, общее количество просмотров, количество сегодняшних просмотров или последний визит).

Для устранения уязвимости, связанной с повышением привилегий в модуле User, необходимо установить Drupal версии 7..44 или более позднюю. Уязвимость в модуле Views пользователи восьмой версии могут победить путём установки Drupal 8.1.3. Пользователям семёрки советуют обновить модуль Views до версии 7.x-3.14.


Back to Top