Откуда берутся вирусы на сайте

«Вирусы? На моем сайте? Но откуда?» - такие вопросы тревожат большинство владельцев сайтов, впервые столкнувшихся с проблемой взлома и заражения своего некогда стабильно работающего веб-ресурса.

Откуда берутся вирусы на сайте

Вирусы на сайте, действительно, не появляются просто так и никуда сами по себе не исчезают. Вредоносный код – результат взлома и заражения сайта, а иногда и всего аккаунта хостинга, на котором размещается несколько сайтов. При обнаружении вирусов на сайте ресурс необходимо срочно лечить и защищать, устраняя не только последствия взлома, но и его причину, чтобы подобные ситуации не повторялись. Так что же становится причиной появления вредоносного кода на сайте?

Причина №1. Взлом сайта через уязвимости в скриптах (в системе управления сайтом , CMS)

Уязвимые скрипты, на которых работает сайт – довольно часто встречающаяся причина взлома веб-ресурса. Не важно, какой CMS пользуется владелец сайта – бесплатными Joomla, Wordpress, Drupal или коммерческими - системы управления содержанием сайта нужно регулярно обновлять до последней доступной версии и следить за тем, чтобы все выпущенные патчи и обновления были вовремя выполнены. Иначе злоумышленнику не составит никакого труда получить доступ к файлам сайта, базе данных или панели администратора и начать использовать ресурс в своих неблаговидных целях. 

Уязвимости популярных CMS становятся быстро известными в мошенническом интернете и «с удовольствием» эксплуатируются злоумышленниками, поскольку открывают доступ сразу к десяткам тысяч сайтов. Однако и самописные CMS также очень часто оказываются в зоне риска, поскольку разрабатываются без ориентиров на безопасность и корректной обработки данных, получаемых от пользователя и базы данных.

Условно неправомерные действия хакеров в отношении уязвимых CMS можно свести к трем основным моментам – это

  1. загрузка бэкдоров и веб-шеллов (через формы загрузки изображений, файлов; получения доступа к админке, далее - через редактор шаблонов или установку своего компонента; загрузки файлов через базу данных);
  2. внедрение вирусов в базу (внедрение кода или спам-ссылок через SQL инъекции);
  3. добавление/ удаление администратора через SQL инъекции, кража административного доступа через XSS-атаку

В результате любого из выше перечисленных действий на вашем сайте может появиться «новая жизнь» - вирусы, из-за которых вас может забанить Яндекс или Google, заблокировать хостер и так далее.

Причина №2. Заражение сайта через уязвимые шаблоны и плагины

Нередки случаи, когда в целях экономии владельцы сайтов используют в своей работе нелицензионные плагины и шаблоны, а их бесплатные аналоги, скаченные на бескрайних просторах интернета. Но, как мы понимаем, бесплатный сыр бывает только в мышеловке. В каждом безвозмездно приобретенном «экземпляре» темы или шаблона (за редким исключением) вас ждет сюрприз в виде хакерского веб-шелла, бэкдора, скрипта с критическими уязвимостями и прочими вредоносными радостями, которые активизируются по одному клику мыши своего «хозяина».

Если у вас недостаточно знаний и компетенций, чтобы почистить бесплатную тему, обходите такие вариант приобретения стороной – лечение сайта и устранение последствий взлома обходятся всегда дороже. Зараженный сайт – это проблема, которая может решаться достаточно долго. Для бизнеса это как минимум негативная репутация и финансовые потери. Выбирайте проверенный лицензионные решения, не рискуйте.

Причина №3. Взлом сайта через подбор пароля от административной панели

Брутфорс-атака – автоматизированный способ подбора паролей с учетом известных критериев, которыми следуют пользователи, создавая пароли. Брутфорс – реальная угроза для владельцев сайтов, использующих слабые, ненадежные пароли, рассчитана она на предсказуемость, шаблонность человеческого мышления.

Когда система «просит» пользователя придумать пароль, то человек очень часто мыслит стандартно, задавая вполне предсказуемые комбинации, которые легко запомнить и воспроизвести при последующих авторизациях – несложные слова и числа, имена собственные, известные названия, «девичьи фамилии», «клички любимых животных», даты, телефонные номера и так далее. С учетом того, что сегодня о нас многое известно в интернете благодаря социальным сетям, интернет-сообществам, форумам и пр. - собрать воедино данные о пользователе не так-то и сложно. Именно поэтому слабые, предсказуемые пароли легко «брутфорсятся» злоумышленниками.

По данным недавно проведенного исследования компании Trustwave, более четверти инцидентов, связанных с безопасностью, произошли в результате использования администраторами систем слабых паролей. Всего в рамках ислледования было проанализировано 574 случаев взлома, произошедших в 15 странах. И что самое удивительное, речь шла не о рядовых пользователях, а о представителях бизнеса. Самым популярным паролем оказался «Password1» - очевидно, что в первую очередь админы думали не о безопасности, а простоте последующих авторизаций.

Причина №4. Перехват (кража) доступов от FTP

Работа с доступами по незащищенному каналу может быть чревата печальными последствиям: мало кто задумывается, что при подключении по FTP логин и пароль передаются в открытом виде, а значит их легко смогут перехватить злоумышленники. Для работы с почтой, по FTP и посещения сайтов нужно использовать защищенные протоколы.

Причина №5. Взлом сервера хостинга

Причиной появления вирусов на сайте может стать взлом сервера хостинга, где размещается веб-ресурс. Остановимся на трех ключевых моментах, которые могут повлечь за собой неприятные последствия для владельцев сайтов.

Проблемы «доморощенных» хостингов. В интернете можно найти довольно много предложений хостинговых услуг, среди которых встречаются так называемые «доморощенные» хостинги, их владельцы – реселлеры крупных хостинговых провайдеров или небольшие компании/частные лица, взявшие в аренду сервер или мультисайтовый аккаунт для перепродажи хостинговых услуг. Нередко в таких случаях сервера оказываются в руках непрофессионалов, не имеющих понятия о безопасном администрировании хостинга, не заботящихся о своевременном обновлении программного обеспечения, регулярном резервном копировании сайтов клиентов, не интересующихся, какие сайты размещаются у них на хостинге (могут быть уже зараженные) и так далее. Цель владельца такого самодельного хостинга – быстро и выгодно продать место на своих виртуальных мощностях. Не получающий должного внимания со стороны своего владельца север тут же становится легкой добычей для злоумышленников – сайты могут взламывать сотнями. И лечить в текущих условиях свой сайт – все равно, что вычерпывать воду из дырявой лодки. Единственно правильный вариант – срочная смена провайдера услуг.

Небезопасное размещение сайтов на аккаунте хостинга. Размещая несколько сайтов на одном аккаунте хостинга, веб-мастер должен понимать, что заражение одного сайта может повлечь за собой заражение других. И вместо того, чтобы заниматься лечением одного веб-ресурса, придется потратиться на проверку и чистку сразу всех сайтов. Пролечивать один сайт, с которого якобы рассылается СПАМ или заражаются компьютеры пользователей, и оставлять без внимания другие веб-ресурсы – не целесообразно. Хакерский шелл или бэкдор может располагаться на любом сайте аккаунта, а расплачиваться придется его сайту-соседу по аккаунту – поскольку вредоносный код может быть обнаружен только на нем. 

Очень часто заложниками таких неприятных ситуаций становятся владельцы сайтов, чьи ресурсы располагаются на одном аккаунте хостинга вместе с другими сайтами разработчика. В таком случае владелец сайта может бесконечно тратить деньги на лечение своего сайта, но пока разработчик не просканирует все сайты полностью и не закроет первопричину – путь, через который злоумышленник несанкционированно вторгается на аккаунт – все попытки тщетны.

Причина №6. Недобросовестный подрядчик.

Не все фрилансеры одинаково порядочны. Иногда мастера своего дела, выполняющие очередную задачу обновления дизайна сайта, исправления ошибок, дописывания новых модулей намеренно оставляют программные «закладки», чтобы получить удаленный контроль над вашим веб-ресурсом в будущем. И, например, использовать его для небольшого пассивного заработка на продаже ссылок через биржи Sape, Trustlink, Linkfeed, Mainlink, Setlinks и др. 

Заключение

Любой специалист по информационной безопасности знает, что в интернете не существует на 100% безопасных систем и решений: при большом желании, хорошей профессиональной подготовке и соответствующем бюджете можно взломать и заразить даже хорошо защищенный сайт. Но это уже совсем другая история про целевые взломы и проникновения. Подавляющее большинство сайтов становятся жертвами нецелевых взломов - массовых атак, которые хакеры проводят в автоматическом режиме, взламывая веб-ресурсы тысячами. «Успех» нецелевой атаки во многом зависит от владельца сайта или специалиста, администрирующего веб-ресурс: насколько хорошо они соблюдают правила безопасной работы в интернете и выполняют рекомендации специалистов.

И главное, помните – от любых вирусов на сайте, а также от причин, повлекших за собой заражение, всегда можно оперативно избавиться, если своевременно обратиться к специалистам.

Наши услуги ИБ

Акция «3 по цене 1»
Подключите до 3х сайтов к услуге "Сайт под наблюдением" всего за 7500 2500 / мес. Скидка 66% только до конца года.
Акция действует только до 31 декабря 2017 года.
При подключении услуги "Сайт под наблюдением" для одного сайта, второй и третий на том же аккаунте подключаются бесплатно. Последующие сайты на аккаунте — 1500 руб в месяц за каждый сайт.