Заражение веб-сайта

Заражение веб-сайта -  проводится через дефекты безопасности в коде веб-приложений и неправильной конфигурации компонентов веб-сайта. Позволяет киберпреступникам выполнить взлом и залить вредоносный код.

Современный бизнес неразрывно связан с использованием веб-технологий. Для крупных компаний разрабатываются целые порталы, которые по сути являются набором приложений и используются в работе компании. Но как только доступ к сайту открывается через интернет, он становится лакомой целью для киберпреступников. Чаще всего для атаки на сайты проводят через уязвимости его компонентов.

Никогда нельзя сказать с уверенностью, заражен ли открытый в браузере сайт. Инфицированными могут оказаться как заведомо опасные сайты (варез, торенты), так и популярные и полностью легальные ресурсы.

Классификация способов заражения веб-сайта

  1. Заражение через FTP. Многие веб-мастера для работы с сайтом через FTP используют файловые менеджеры, которые могут хранить пароли и логины. Все данные в файловых менеджерах хранятся в не зашифрованном виде, и при заражении компьютера вирусом, они отправляются прямиком злоумышленникам.
  2. Некоторые системы управления сайтом CMS не обладают защитой от брутфорс-атаки. В них не предусмотрены: капча, ограничение попыток ввода паролей. Ну, а если вы используете стандартный логин Admin или Administrator и пароль состоящий из одних цифр, то взлом и заражение веб-сайта значительно упрощается.
  3. Доступ к сайту могут получить через открытые уязвимости в CMS, это возможно если используется устаревшая версия системы управления сайта.
  4. Веб-мастера создавая и развивая сайт сталкиваются с необходимостью приобретения платных модулей, компонент и плагинов. Стоимость их может быть высока, и вполне закономерно стремление найти взломанные версии. Киберпреступники зная о желании веб-мастеров сэкономить, публикуют взломанные версии, в которые встроен вредоносный код, с помощью которого ваш сайт будет заражен или оставлен бэкдор.  

Источник угрозы

Вредоносные программы используются злоумышленниками для достижения определенных целей:

  • Переключение на эксплойты для последующей скрытой инсталляции потенциально опасных программ посетителям и клиентам сайта.
  • Переадресация трафика на рекламные модули, шпионский, фишинговый и прочий нежелательный контент.
  • Перехват и присваивание посещений при вводе определенных поисковых запросов.
  • Продвижение веб-адресов с сомнительным содержимым (такое явление называется черной оптимизацией).
  • Применение возможностей сервера для незаконной активности, например, проведения DDoS-атак.

Любые действия нечестных разработчиков направлены на получение прибыли. Методы могут сильно отличаться: от перехвата потоков трафика для накрутки количества посещений до похищения ключей от электронных кошельков и прочей конфиденциальной информации.

Заражение веб-сайта

Особая опасность зараженных сайтов состоит в том, что оно часто никак не проявляет себя для самого сайта. Владельцы сайта могут не подозревать о проблеме, так как вредоносный код будет отдаваться по настроенному таргетингу (для определенного региона, в определенное время, на определенной платформе).  

Как происходит заражение веб-сайта?

Самый простой способ – взлом пароля путем атаки перебором или словарной атаки. Эта тактика занимает много времени и является неэффективной, поэтому при массированных заражениях она употребляется крайне редко. Гораздо чаще используются уязвимости системы управления контентом или специальный софт для похищения паролей.

Большинство современных CMS платформ далеки от совершенства, в них содержится множество уязвимостей, благодаря которым сторонние лица могут загружать любую информацию. Разработчики регулярно тестируют собственные продукты на наличие неполадок, но до выхода обновлений с обнаруженными и исправленными ошибками часто проходит довольно много времени, а многие  юзеры пользуются старыми версиями, в которых может быть множество багов. Неудивительно, что уязвимости часто встречаются в распространенных платформах WordPress, Joomla и подобных.

Квалифицированные киберпреступники предоставляют возможность веб-мастерам самостоятельно заразить своей сайт. Такое заражение возможно, когда злоумышленники выкладывают полезные модуль для системы управления сайта, которые скачивает веб-мастер и добавляет на сайт. Тем самым заражая его.

В некоторых случаях злоумышленники пользовались другим методом. Сначала распространялось программное обеспечение, предназначенное для поиска и несанкционированного копирования данных FTP-аккаунтов посредством внесения изменений в клиентские службы или сканирования сетевого трафика. Затем приложения коннектились с сервером и загружали заранее подготовленные скрипты или измененные версии оригинального контента. Это приводило к повторному заражению однажды инфицированного компьютера даже после изменения регистрационной информации, отката к предыдущему состоянию или восстановления из за ранее созданной резервной копии.

Подводя итог вышесказанному, можно прийти к выводу, что заражение было произведено одним из способов:

  • Вредоносный код преднамеренно был размещен владельцем для получения незаконной прибыли или иных целей.
  • Сайт был взломан и фрагмент с потенциально опасным содержимым был размещен на нем посторонними хакерами; сегодня это один из самых распространенных вариантов.
  • Вирус записан в коде размещенного на странице контента, взлом осуществляется не напрямую, а через баннерную сеть, виджеты или другие внешние компоненты; инфекция распространяется по всем страницам, содержащим ссылку на зараженный объект.

Анализ риска

Как показывают исследования, риск посетить инфицированный сайт достаточно велик. Заражение может произойти в результате проведенной хакерской атаки или незаметно для владельца. Особенно большая вероятность приобрести нежелательных «пассажиров» в случаях:

  • Использование для серфинга и другой деятельности в Интернете компьютера с  установленным на нем имеющим уязвимости ПО.
  • Работа в Windows через учетную запись администратора.
  • Использование примитивных паролей, которые легко взламываются.
  • Несвоевременное обновление модулей безопасности установленного на ПК софта.

Последствия от действия этих модулей могут быть самыми разнообразными: от постоянного получения спама и прочих сообщений до потери контроля над учетными записями в соцсетях и значительной части денежных средств.

При обнаружении симптомов нужно деактивировать сайт для предотвращения дальнейшего распространения вирусов. Затем нужно проверить серверные журналы на наличие следов несанкционированной активности. Это может помочь определить инфицированные компоненты и возможные пути их появления.

Для полного восстановления содержимого сервера устанавливаются созданная до инфицирования резервная копия и последние версии всего предназначенного для работы с оборудованием софта.

Если чистой копии нет, необходимо использовать автоматизированные средства для выявления потенциально опасных записей. Подобную опцию содержат многие антивирусные продукты, также для этих целей разработаны специализированные онлайн-сканеры. Для более тщательной проверки можно поочередно использовать несколько таких решений, часть из которых определит уровень угрозы и укажет на содержащие подозрительные записи фрагменты. После этого проводится комплексный анализ антивирусными продуктами всех размещенных на сервере файлов.

Владельцы серверов могут выполнить их комплексную проверку. Содержимое загружается на локальную машину и проверяется антивирусом со встроенным эвристическим модулем. Второй способ показывает более высокие результаты при борьбе с подобными угрозами.

Если проверка в автоматическом режиме не принесла результатов, можно попробовать найти и удалить зловреда вручную. Это достаточно трудоемкий процесс, в процессе которого предстоит проверить каждый файл на наличие посторонних скриптов. Особое внимание следует уделить неясным или нечитаемым фрагментам. Обфускация кода нетипична для используемого в сайтостроении ПО. При обнаружении ее малейших признаков необходимо все тщательно проверить. Аналогично находятся содержащие ссылки на внешние ресурсы теги.

Для профилактики заражения необходимо придерживаться определенных правил:

  • Используйте для сайта сложный логин и пароль. Поставьте модули выводящие капчу при входе в админку, ограничьте число попыток ввода пароля. Длина пароля должна быть не менее 8 символов, обязательно в пароле используйте буквы и цифры.
  • Периодически создавать резервные копии и выполнять сканирование всех файлов.
  • Обеспечить максимальный уровень защиты для компьютера, с которого осуществляется управление сайтом.
  • Используя файловые менеджеры для работы с сайтом, не сохраняйте логин и пароль в нем. Даже если доступ к FTP-серверу открыт только с вашего IP адреса, остается риск заражения.
  • Используйте последнюю версию CMS, своевременно обновляйте ее и используемые модули.
  • Не пользуйтесь взломанными версиями плагинов, компонент, модулей. Старайтесь приобретать их на хорошо зарекомендовавших себя сайтов разработчиков.