Как не переборщить с паранойей

Часто веб-мастер или владелец сайта судит о взломе и заражении сайта по косвенным признакам. Например, в CMS может быть установлен плагин безопасности, который фиксирует попытки взлома сайта и записывает их в специальном “журнале вторжений” (в некоторых случаях даже рассылает уведомления о том, что на сайт была атака).

Второй частый случай, когда владелец сайта подозревает, что его сайт взломали после сканирования файлов антивирусами или специализированными сканерами. В область сканирования могут попасть не только скрипты сайта, но и журналы веб-сервера, каталоги с почтовыми ящиками, файлы статистики посещений awstats и базы антивируса. Если в этих файлах встретится фрагмент, похожий на вирусный код, то сканер отобразит данный файл в отчете и пометит его как опасный.

Но не стоит спешить с выводами.

  1. «Атака на сайт» не равно «взлом сайта».
    Атаки на сайт идут постоянно: боты сканируют любой проиндексированный в поисковике сайт на открытые конфигурационные и служебные файлы (бэкапы, дампы и пр), ищут уязвимости. Спам-боты ищут на сайтах формы и капчи, чтобы автоматически регистрировать пользователей, размещать спам-комментарии на сайте. Брутфорсеры перебирают пароли от админ-панелей сайтов. Эти запросы идут 24 часа в сутки на любой сайт. 49% современного трафика составляют боты.
    Подобные запросы к сайту могут расцениваться как веб-атаки и добавляются проактивной защитой (плагином безопасности) в журнал вторжений. Но ко взлому и заражению сайта они не имеют никакого отношения. Если на сайте установлена проактивная защита, то сайт будет отражать все попытки взлома и сайт не будет взломан. Стоит отметить, что большинство плагинов, осуществляющих мониторинг атак на сайт, делают это очень плохо и чаще “заваливают” уведомлениями владельца сайта о попытках вторжения, но на самом деле атаки не представляют угрозы. Поэтому в случае сомнений стоит проконсультироваться со специалистами.
  2. Файлы с вредоносными фрагментами кода не всегда вирусы и не всегда представляют угрозу безопасности для сайта.
    Как мы уже рассказывали выше, антивирусный комплекс или сканер файлов может обнаруживать вирусы не в скриптах, а в служебных файлах. Например, если на сайт были попытки проведения веб-атак, то фрагменты кода, которые присутствовали в атаках, появятся и в журнале обращений (access_log), а также могут перекочевать и в систему статистики (awstats). Если на почту приходит спам, то в нем также могут присутствовать вирусные вложения или фрагменты опасного кода. И данные файлы при сканировании будут считаться опасными. Но на самом деле для сайта они не несут никакой угрозы, так как вирусные фрагменты в них не могут быть активны и не доступны через веб. Поэтому следует разграничивать заражения скриптов сайта и вирусные фрагменты в системе статистики, почтовом ящик, журнале веб-сервера и других служебных файлах, которые не имеют отношения к сайту. Что касается сомнений владельца, совет здесь такой же – проконсультируйтесь со специалистом.

Очень полезно обладать здоровой степенью подозрительности, поскольку она позволяет своевременно заметить угрозу безопасности вашему сайту, но с паранойей не стоит перебарщивать. Помните, что не каждая веб-атака приводит ко взлому сайта, а файл с вирусным фрагментом не всегда угрожает безопасности ресурса и посетителям.

Наши услуги ИБ

Акция «2 по цене 1»
Подключите 2 сайта к услуге "Сайт под наблюдением" всего за 5000 2500 / мес. Скидка 50% только в июле.
Акция действует только до 30 июля.
При подключении услуги "Сайт под наблюдением" для одного сайта, второй на том же аккаунте подключается бесплатно. Последующие сайты на аккаунте — 1500 руб в месяц за каждый сайт.
Новинка! Антивирус для ISPmanager Lite
Антивирус для Plesk Onyx