Статьи

Безопасность сайта. Против взлома есть приемы!

Стабильное проживание сайта по прописке «Топ 3 Яндекса, Топ 5 Google» и фантастический трафик с целевыми посетителями зависят не только от грамотной раскрутки проекта и размера бюджета. Один из самых важных и самых недооцененных факторов — это безопасность сайта.

Отсутствие критических уязвимостей движка, готовность сайта противостоять атакам хакеров — очень важный вопрос. Однако на деле справедлива поговорка: «Пока гром не грянет – оптимизатор не перекрестится».

Допустим, жил был портал с уникальными статьями и идеальной перелинковкой – и вдруг… гром среди ясного неба! Сайт блокирует антивирус! Поисковики изолируют сайт от странников Интернета, добавляют его в ЧС за распространение вирусов. А хостер обвиняет владельца в страшных грехах оптимизаторских: рассылке спама и создании фишинговых страничек, и блокирует аккаунт.

Прошло всего дня два – и вдруг оказывается, что кропотливая работа по выращиванию ссылочной массы, накачиванию показателей тИЦ/PR и прополке спама на форуме прошла в пустую. Инвестиции, вложенные в продвижение проекта, канули в бездну, а звездное прошлое сайта, некогда сиявшего на вершине Топов, кажется уже таким далеким и туманным. Без паники! Все можно исправить.

Что делать, если на сайте поселился вирус?

Приведем примерный алгоритм поиска вируса.

1) Проверьте свой компьютер антивирусом Dr.Web.

Вполне возможно, что на вашем компьютере поселился троян, крадущий пароли от вашего ПО и передающий их злоумышленникам.

2) Смените пароли от вашей рабочей почты, пароли от FTP, пароли от доступа к аккаунту хостинга, пароли от админки и БД всех сайтов зараженного аккаунта.

Если у злоумышленников есть доступ к вашему серверу, то им ничего не стоит вновь закачать вирус на сайт после вашей «генеральной уборки».

3) Проверьте сайт на вирусы сервисами http://2ip.ru/site-virus-scaner/. Первый сервис указывает подозрение на вирус, но конкретно определить вредоносный код на сайте не может. Он также может бить ложную тревогу при обнаружении рекламных кодов с iframe-вставками. Зато сервис покажет, считают ли Google и Yandex ваш сайт безопасным или нет. Второй сервис ищет на сайте вирусы, вредоносные JavaScript, плавающие фреймы, IE атаки и сомнительные ссылки. Он использует для сканирования файлов антивирусные базы мировых компаний, поэтому проверка может затянуться. Так же на этом сайте существует раздел, где приведена подборка распространенных вредоносных кодов.

4) Подключитесь к файлам, хранящимся на вашем хостинге, с помощью программы FileZilla. Скачайте сайты (подозрительные файлы) на свой компьютер и проверьте их антивирусом Dr.Web. Возможно, что антивирус обнаружит какой-нибудь вебшелл.

5) Программа FileZilla позволяет увидеть, когда осуществилось последнее изменение каждой папки на сервере. Просмотрите все папки аккаунта. Подумайте, с какого момента вирус уже мог отрабатывать свой алгоритм. Вспомните, когда вы сами последний раз работали с данной папкой. Если возникли подозрения по поводу какой-нибудь папочки, приглядитесь с ее подпапкам и файлам, посмотрите даты их последнего изменения, просмотрите код подозрительных файлов.

6) Определив недавно редактировавшиеся файлы, проверьте их код вручную. Откройте файл Блокнотом, выберите команду «правка» - «найти». В открывшемся окошке вставьте вредоносную команду-код и нажмите кнопку «найти далее». Простым перебором распространенных кусочков вредоносного кода можно определить его конкретное местоположение. Еще лучше воспользоваться программой Notepad++. Скачали файл на компьютер, открыли Нотпадом и задали поиск – принцип тот же самый. Метод научного тыка до сих пор работает!

Что стоит проверить в первую очередь? Обратите пристальное внимание на недавно редактировавшиеся файлы, файлы шаблона, основные файлы движка (такие как functions.php, index.html, конфигурационные файлы, файлы rss различных компонентов). Обязательно просмотрите содержимое папки images.

Что стоит поискать? Вражеский код может начинаться со слов Evil и base64_decode, содержать шифрованную длинную абракадабру, а также слова iframe и echo. В общем, в строку поиска стоит ввести команды Evil, sscounter, base64_decode, explode, iframe.

Помните только, что base64_decode, iframe и explode используются и в безопасном коде. Рекламные скрипты также часто содержат вставку iframe. Если у вас вызывает подозрения какой-то код – введите строчку из него в поиск, возможно на каком-то форуме этот код уже обсуждался. Также вы можете сравнить текст файла движка с текстом из старого бэкапа или с оригинальным текстом на сайте разработчика.

Если команда iframe используется в коде вредоносного скрипта, то значит рядом или внутри должна присутствовать ссылка на чужой сайт. Ссылка может быть обычной, а может скрываться за абракадаброй.

7) Обязательно включите логи на своем хостинге. Напишите в техподдержку хостера и попросите подключить логи error_log и access_log. Данные файлы будут автоматически архивироваться рядом с корневой папкой (public.html). Вы сможете их скачать на свой компьютер и просмотреть в обычном Word.

Файл error_log указывает на ошибки на сайте. Если он пуст – значит все прекрасно. Файл access_log показывает подключения к вашему серверу. Содержание этого файла может пригодиться фрилансеру, у которого вы, возможно, захотите заказать «генеральную уборку» сайта.

Что делать, если на сайте поселились дорвеи?

Хакеры могут подселить на сервер дорвей. При таком способе паразитирования на сайте появляются тонны спам-контента, многочисленные страницы со ссылками, используемые для продвижения и рекламы чужих ресурсов. В результате в поисковом индексе появятся тысячи посторонних страниц. Дорвеи спровоцируют пессимизацию, а то и бан сайта.

Как воевать с паразитами? Удалите с сайта страницы дорвея и скрипт, который генерирует контент. Запретите в robots.txt индексацию спамных страниц. Перенаправьте адреса спам-страниц на страницу ошибки 404. Спам-страницы исчезнут из выдачи, когда сайт переиндексируется, а поисковый индекс обновится.

Успешной вам «генеральной уборки» на сервере!

RU/KZ