ENG    РУС

Все статьи »

Хакер взломал сайт и вымогает деньги

Закажите лечение сайта и защиту от взлома у специалистов

Ежедневно взламывают десятки тысяч сайтов. Большая часть скомпрометированных сайтов используется хакерами как инструмент заработка. Паразитирование может иметь несколько форм:

  1. на сайте размещают специальный код, который показывает рекламу, вставляет ссылки на страницах или заражает компьютеры посетителей троянами и вирусами
  2. с хостинга рассылают спам
  3. с сайта воруют посетителей и перенаправляют на партнерские программы

Но есть еще одна популярная “черная” схема заработка, когда хакер взламывает сайт и вымогает деньги за закрытие уязвимостей. В большинстве случаев это маскируется под добродетель, предложение помощи за скромное вознаграждение. Выглядит это так:

  1. Хакер находит уязвимый сайт (используя тематические каталоги, дорки или сайт взламывается “по наводке”)
  2. Загружает на него веб-шелл или бэкдор, с помощью которого получает контроль над сайтом и аккаунтом хостинга
  3. Связывается с владельцем сайта через соцсеть, по скайпу или email, сообщая о том, что он обнаружил опасную уязвимость на сайте и готов помочь ее закрыть за вознаграждение
    хакер шантажирует владельца сайта
  4. С помощью демонстрации возможных последствий или запугивания, хакер вынуждает владельца согласиться сотрудничать. А в случае отказа уничтожает сайт, выкладывает его копию в публичный доступ или начинает незаметно зарабатывать на нем, используя перечисленные выше варианты
    хакер шантажирует владельца сайта

Опасность данной ситуации в том, что у хакера есть полный доступ не только к файлам и базе данных сайта, но часто к резервным копиями и логам, которые он может уничтожить. В итоге можно полностью потерять сайт без возможности восстановления. Поэтому крайне важно выработать грамотный алгоритм действий, который в случае взлома сайта и шантажа со стороны хакера позволит сохранить сайт и повысит шансы найти злоумышленника.
хакер шантажирует владельца сайта

Если ваш сайт взломали и вас шантажируют, нужно сделать следующее:

  1. Согласиться сотрудничать с хакером, после чего оперативно связаться со специалистами по информационной безопасности. В обращении подробно опишите ситуацию и перешлите переписку с хакером.
  2. Найдите предлог для того чтобы выиграть время:
    1. попросите хакера привести доказательства намерений помочь, запросите детали уязвимостей, которые хакер обещает закрыть,
    2. спросите, как вы сможете убедиться в том, что работа выполнена,
    3. запросите платежную информацию (номера электронных кошельков), на которые перевести деньги,
    4. сообщите, что сейчас у вас в данный момент нет возможности оплатить и вы сделаете это в течение суток,
    5. зафиксируйте изменения на сайте и время, когда они были сделаны.

Нужно собрать как можно больше информации о вымогателе и проделанной им работе,  чтобы передать ее специалистам.

  1. Если вы - опытный веб-мастер, незамедлительно сделайте полную резервную копию сайта, базы данных и настроек хостинга, выгрузите их себе локально на компьютер, после чего заблокируйте доступ ко всему аккаунту хостинга или отключите сервер до начала работы специалистов по информационной безопасности. Это позволит сохранить сайт, настройки хостинга и хакерские “следы”.

    Как правильно отключить сайт на виртуальном хостинге:

    1. Разместите в корневом каталоге сайта файл .htaccess со строками
      Order Deny,Allow
      Deny from All

      или впишите их в начале файла, если файл уже есть. Если на аккаунте хостинга несколько сайтов, заблокировать нужно все, так как хакер может получить доступ и к соседним сайтам на аккаунте.
    2. Отключите FTP/SSH доступ к хостингу или хотя бы смените пароли от всех аккаунтов
    3. Смените пароли от хостинг-панели и не заходите в нее до окончания работы специалистов

      + Запросите в тех поддержке хостинга логи веб-сервера, FTP/SSH и логи панели управления хостингом за максимально доступный период

    Что касается хостинга на выделенном сервере, то здесь нужно блокировать не сайт, а сервер: отключить сервер полностью и предоставить доступ к VDS панели специалистам, которые проведут анализ и грамотно заблокируют все сервисы и компоненты (панель менеджера, службы и веб-сервер).

Что не нужно делать при взломе сайта и шантаже:

  1. Бежать в милицию и писать заявление – скорее всего вы потеряете свой сайт и точно не найдете хакера, так как информации о нем будет не достаточно для проведения расследования
  2. Жаловаться или просить помощи на форумах – вам скорее всего посоветуют пойти в милицию, что в данной ситуации абсолютно бесполезно (см. п. 1)
  3. Оплачивать работу хакера (об этом подробно написано ниже)
  4. Пытаться справиться самостоятельно – помните, у хакера уже есть полный контроль над сайтом, всем аккаунтом хостинга или даже сервером на момент обращения к вам, поэтому любые попытки ему помешать обернутся уничтожением данных.

Итак, еще раз: сразу же обращайтесь к специалистам по информационной безопасности.

Почему не нужно оплачивать работу злоумышленника, взломавшего ваш сайт:

  1. Цель хакера – заработать деньги. После получения оплаты хакеру нет смысла продолжать работать с вашим сайтом, если только не для дополнительного заработка за счет размещения недобросовестной рекламы, ссылок, вирусов или редиректов.
  2. Если хакер простит оплату не сразу, а только по факту выполненной работы, доверять ему все равно нельзя. Вы не сможете определить, действительно ли он закрыл уязвимости или просто потянул время, создавая видимость. Через некоторое время может обнаружится, что хакер все-таки использует ваш сайт для собственной выгоды.
  3. В большинстве случаев в подобных мошеннических схемах участвуют молодые люди (школьники, студенты), которые физически не смогут грамотно закрыть уязвимости на сайте, так как не являются специалистами в области информационной безопасности. “Ломать – не строить”: взломать сайт легко, грамотно защитить его от взлома значительно сложнее.

Как найти и наказать хакера

Каждый владелец сайта, попавший в подобную ситуацию, желает наказать хакера по всей строгости закона. Хакеры это знают, поэтому стараются как можно тщательнее скрыть реальную информацию о себе: используют поддельные IP (работают через прокси и VPN), создают временные или используют взломанные аккаунты соцсетей, email и электронные кошельки. Поэтому опытных хакеров поймать и наказать практически невозможно. Неопытные могут допускать ошибки и дают шанс их “развиртуализировать”.

Мы сотрудничаем с компаниями, которые специализируются на расследовании киберпреступлений, поэтому кроме защиты сайта от взлома помогаем в поиске злоумышленников. Чем более детальную информацию о хакере удастся собрать, тем больше шансов провести эффективное расследование киберпреступления.

Если ваш сайт взломали или хакеры вас шантажируют, напишите нам.

Посмотреть другие статьи.

Закажите лечение сайта и защиту от взлома у специалистов

Обсуждаем!