Валерий Сидоров Грандмастер

Что делать, если ваш сайт атакован?

…Не секрет, что многие сайты часто пытаются «взломать», особенно часто подвергаются атакам «народные» сайты Яндекса.
Методика «взлома», как правило, чрезвычайно проста: используя какой-нибудь наспех «нагугленный» генератор паролей, хакер подбирает пароль к сайту-мишени и делает так называемый дефейс (от англ. deface — ухудшать, портить, повреждать, искажать, стирать, уничтожать) — меняет заглавную страницу сайта (например, выводится — аршинными буквами! — надпись «Здесь был я, самый крутой хакер всех времен и народов Вася Пупкин!!!»). Реже содержимое сайта подменяется каким-нибудь порно-содержимым.

Более злонамеренные хакеры идут дальше, например, встраивают в программный код страниц сайта скрипты со ссылками на файлы с вредоносным содержимым. При попытке загрузить инфицированный сайт (страницу) скрипт срабатывает, и автоматически на ПК пользователя, открывшего веб-страницу, закачивается и устанавливается вредоносное программное обеспечение. И если ПК пользователя не защищен антивирусом и брандмауэром, то попытка посещения инфицированного сайта может закончиться в тональности ре минор…

Иногда атаки на сайты носят массовый характер. В этом случае техника взлома более изощренная: например, используются SQL-инъекции — «внедрение операторов SQL» (SQL Injection — вид уязвимости, при которой атакующий дополняет SQL-запрос дополнительными операторами, позволяющими повысить привилегии либо получить несанкционированный доступ к данным. Уязвимости обычно эксплуатируются через поля ввода и параметры веб-страниц, код которых не фильтрует переданные пользователем значения. Кстати, атаки с использованием SQL-инъекций считаются самыми опасными!) или межсайтовый скриптинг — «межсайтовое выполнение сценариев» (Cross-Site Scripting, XSS).

Несколько массовых атак на «народные» сайты Яндекса произошли в марте и 24−26 апреля 2008 г. (в канун годовщины Чернобыльской катастрофы, кстати, Яндекс официально факт атак не признал, — «плата» за бесплатность хостинга!). Во время атак был модифицирован (инфицирован!) код страниц index.htm и main.htm многих сайтов.

При попытке загрузить инфицированные сайты загружалась страница http://colehost.cn/update.php, которая вызывала страницу http://colehost.cn/load.php (кстати, доменная зона .CN принадлежит Китаю…). После этого в корень диска C:\ ПК пользователя копировался исполняемый файл вируса (может иметь произвольное название, например, wingNlDCEH. exe, winwiskXrM2gTjaIz. exe, load. exe и т. д.). Panda Antivirus идентифицирует этот вирус как W32/Nuwar.C.worm; антивирус Касперского — как Trojan-Downloader.JS; NOD32 — как win32/Statik; также может идентифицироваться как IFRAME.Exploit. Попутно в каталог \Program Files\Common Files\System\ могут быть скопированы файлы вируса apcsvra. dll и apcsvra.exe.

Врачу, исцелися сам!, или Спасение инфицированных — дело рук самих инфицированных!
Как устранить последствия атаки:
 — проверьте свой ПК на отсутствие вирусов;
 — смените пароль на доступ к своему сайту (к сожалению, на Народ.Ру этот пароль единый — и на почту Яндекса, и на доступ к сайту);
 — загрузите на сайт исходные веб-страницы вместо инфицированных;
 — сообщите о факте атаки администрации хостинг-провайдера (это не гарантирует, что ваш сайт в дальнейшем не будет подвергаться атакам, особенно, если сайт хостится на бесплатном хостинге!);
 — всегда пользуйтесь брандмауэром и антивирусом (с регулярно обновляемыми базами!).

Примечания
1. Используйте пароль максимально возможной сложности (достаточной длины, с чередованием цифр, строчных и заглавных букв, etc.).
2. Почаще меняйте пароль.
3. Если есть возможность, располагайте свой сайт на платном хостинге.

Обновлено 19.09.2008
Статья размещена на сайте 31.08.2008

Комментарии (6):

Чтобы оставить комментарий зарегистрируйтесь или войдите на сайт

Войти через социальные сети: