Взломали сайты!

Первая часть из серии статей, посвященных разнообразной защите сайтов от взлома. Точнее — борьбе с последствиями взломов.

Так случилось, что в конце июля несколько моих сайтов были взломаны.
Попали в общую волну взломов.

Это был полный шок, конечно.

Причем, накануне я заметила какую-то подозрительную активность на одном из сайтов. В частности, не могла зайти в админку сайта. Хотя вводила правильные имя / пароль. «Сбросила» пароль. На почтовый ящик пришло письмо, в котором ник был «Admin». Как — Админ? Какой Админ? Нет на моем сайте никаких админов. Мои ники совершенно другие!
Причем, это как раз произошло с блогом, сделанным на WordPress’е.

А на следующее утро…

Открываю свой сайт (этот блог, в том числе!) — а там…. — черный экран с радостным известием: «Я супер-хакер-Маньяк. Я взломал твой сайт».

оооууу!

мда-с…

Мои чувства — просто непередаваемы.

Проверяю все свои сайты…. Взломано шесть штук. Причём все они находятся на одном хостинге.

В первую очередь — подумала на вирусы на компьютере. С какой скоростью в этот момент я выдергивала модемный кабель из системного блока… — это надо было видеть! Хотя в принципе, это самое первое и самое простое действие, которое надо сделать при подозрении на вирус.

Параллельно лихорадочно соображаю, насколько легко будет восстанавливать сайты, пытаюсь вспомнить, когда были сделаны последние резервные копии…

В общем — у меня возникло устойчивое психическое расстройство — веб-паранойя.

Быстренько на другом компе скачала дополнительную антивирусную утилиту, проверила… — нет, всё чисто. Значит, проблема не в вирусе, а где-то в другом месте…

На сайтах с простыми движками справиться с проблемой оказалось легче легкого — просто удалила файл index.php, который залил в корень сайта враг.

С сайтами на Вордпрессе — проблем было немножко больше.
Потому что кое-где ещё были подменены сайдбары, страницы входа…

На форуме хостинга выяснила, что проблема не у меня. Вражина ломился через админки огромной кучи сайтов на Вордпрессе и Джумле… — и таки влез на хостинг через какую-то уязвимость CPanel’и.
Но админы моего хостинга — потрясающие умнички!

Они восстановили все сайты очень быстро — менее, чем за полтора суток.
ура! па-дам! И да здравствует!

И реально моей работы в этом случае было совсем немножко: удалить «вражью» стартовую страницу и поменять побольше паролей везде, где можно.

Лирика из реала

А вот нервотрепки было много. Меня спасло только то, что мне в тот период было совершенно не до сайтов. В тот день как раз приехала моя доченька. С толпой друзей. Отдыхать. Ну, а мамка должна была обеспечить прием по высшему разряду. 🙂 А с дочей мы не виделись полгода.
Ну… в общем, мысли были все в реале, а не среди взломанных сайтов.


Но в принципе, мои ощущения по поводу взломанных сайтов можно описать приблизительно так:
Пришла я вечером домой. А на моем диване развалился какой-то чужой наглый пьяный мужик в грязных сапогах… — фууу! Страшно, конечно. Но ещё и брезгливость…

Из пушек по воробьям

Небольшой вывод: если взломали ваш сайт — то сильно не паникуйте. Вероятность того, что атака была направлена именно на этот конкретный сайт ничтожно мала по сравнению с массовыми атаками.
То есть этот хакер палил из пушек по воробьям — глядь, кого-то и «подстрелил».

А когда проблема глобальная (а не у одного вебмастера), то и справляются с ней, как правило, быстрее. Потому что толпой борются. Как говорится: «Гуртом і батька легше бити».


Тему в данном случае спалю нестандартно-моральную:

Когда с этим врагом-маньяком-хакером произойдет что-то очень-очень плохое, — то это ему будет кара за наши нервы и переживания.

И наоборот: когда с админом нашего хостинга случится что-то очень-очень хорошее, — это будет награда за его труд по спасению наших сайтов и за его борьбу с хакером.
И такое обязательно случится! Так и произойдет на самом деле.
Причём в этом моём предсказании нет никакой мистики или веры в Высшие силы. Совсем нет, ни капельки. Я могу эти тезисы (о неминуемом воздаянии — положительном или отрицательном) очень легко доказать. На уровне элементарных психологических знаний. э… ну, почти-элементарных.

Вот такая эмоциональная «горящая тема».

Но все это — только первая часть длинной истории.

Продолжение следует:

Веб-сериал «Паранойя». Серия 2

Веб-сериал «Паранойя». Серия 3. Украли сайт.

регистрация доменов
домен RU - 99 руб
домен РФ - 99 руб
www.

Тут была реклама Google Adsense. Почему я её убрала?

Не забывайте подписываться на rss и/или твиттер блога. Нажимайте на лайки.  Сделала и веду больше 15 сайтов. Точная цифра - всё время меняется. Подробнее - читайте на странице "Мои проекты". DivaDii (ДиваДии)


.

17 комментариев: Веб-паранойя. Часть 1

  • КнягиняNo Gravatar (18 comments):

    Ооо… Я тоже давно страдаю паранойей, но её оказалось недостаточно: в начале этого года обнаружила у себя взлом — но тихий: напхали в уголок пачку лишних страниц со ссылками. Я почистила, движок обновила, нашла по поиску пачку таких же пострадальцев и написала им предупреждения; но, видимо, что-то упустила, потому что через некоторое время появилась другая гадость: мобильный редирект на левый сайт, который возобновлялся после удаления; оказалось — бекдор, спрятанный среди файлов движка.

    Теперь я опараноилась по полной, напхала везде затычек и поставила двойную систему паролей. И ещё плагин, который сообщает об изменениях файлов на сервере (правда, он не отличает мои правки от вражеских, так что после любого улучшения темы я получаю пачку этих уведомлений).

    А хостер у меня оказался не такой внимательный: типа, ищите сами, он сказал, а мы вам только логи выдадим.

    • DivaDiiNo Gravatar (646 comments):

      Княгиня, у меня тоже сериал в трёх сериях получился. 🙁
      И это только — серьёзные проблемы, за последний месяц. А о других неприятностях я уже порассказывала.
      мда…
      Вот об этих «удовольствиях» начинающих вебмастеров никто не предупреждает.

  • Вот это я погрязла в делах житейских, а у девчонок такое творится! Вы обе, Надежда и Юля, мои идеалы в плане профессионализма в сайтостроении (и не только, конечно) и психологической стойкости. Не подводите! ))
    А мне вчера пришло письмо с фишинговой ссылкой о смене прав на домен. Так искусно замаскирована ссылка, что даже программист мой Роман не смог наверняка отличить. Но я-то тоже параноик. Естественное, никуда не пошла, звонить стала. Подтвердили мою версию. А кто-то ведь ходит. Пароли поменяла везде. Но хакеры тупые, слава Богу. Не понимаю, где они берут информацию, если домены у меня давно уже паркуются на timeweb, а письмо пришло от имени предыдущего хостера, sweb. Кстати, сам sweb постоянно шлет предупреждения о фишинге. Это я так подробно рассказываю, чтобы вы осторожнее были.
    Да, попробую комментарий в хроме отправить — у меня новый интернет-провайдер. Попадет в спам, интересно?

    • DivaDiiNo Gravatar (646 comments):

      Да ну, Надежда, насчёт меня — это Вы точно преувеличиваете. Может быть, чуть более опытна. Да и то… Куча опыта, всяких проб и набивания шишек — не означают сильно большого профессионализма. 😉 Шишек больше — это да. 🙂 Это точно.
      И точно знаю, что если бы не куча важных дел в реале, то я бы вообще была бы на грани психушки. А так — домашние хлопоты отвлекли от веб-проблем.
      По поводу «тупости» хакеров. Вот когда я всё это пережила — тогда уже почувствовала, что они берут только за счёт массовой атаки. А не ума и тонкости.
      И потом в анализе этой атаки говорилось о том, что хакер «пробивал» лёгкие пары ник/пароли. Типа admin / password; или qwerty… Таким образом — пролазил в один аккаунт и через какую-то уязвимость CPanel — тогда добирался до остальных аккаунтов. Но это же всё делала программа. То есть если бы все включали мозги и ставили сложные ники/пароли, — то эта программа хакера на хостинг не пролезла бы.
      Спасибо и Вам, что Вы рассказали по поводу вот такой фишинговой атаки. Я бы, возможно, не доглядела бы. А теперь буду внимательнее.

  • Не понимаю, в чем же все-таки дело? Провайдер другой, IP — новый. Чем я ему не нравлюсь?

  • Чудеса из чудес. Приходит на почту Ваш ответ на мой комментарий. Удалось-то мне его оставить со второй попытки в Опере. Перехожу по ссылке, а хром мне не показывает ни моих двух, ни Вашего ответа. Открываю Оперу. Свои-мои есть, Ваших не вижу. Какой-нибудь случай поможет разгадать нам эту тайну?
    А сказать я хотела, что именно это и думала, о чем Вы говорите. Кто-то простыми паролями открывает лазейку. Кстати, намедни приношу домой коробочку с роутером интернет подключать, а на ней карандашом пароль для меня и еще 3 компьютеров к wifi — 1234567890. Чуть не упала. Пришел компьютерщик — друг онлайн и теперь сосед офлайн и объяснял, что это не страшно. Ничего не поняла из теории, но слезно просила изменить пароль. Видимо, уже пунктик. Теперь у меня и сеть закрыта. А еще он показал, как комбинацией из 8 цифр, причем, одинаковых (шесть четверок и две двойки в определенном порядке) прячется айпи, то есть подключается прокси. Боже, как это просто! А мы хакеров блокируем по IP. Какой это бред, оказывается.
    Это я все оффтопала. По сути могу сказать, что у меня сын, например, далек от Интернета, но на него зарегистрирован домен в моем аккаунте. Приходят письма с фишингом и мне, и ему. И он идет! Таких наивных полно. Правда, все успела тогда защитить, но впредь наказано строго.

  • AntonNo Gravatar (36 comments):

    Черт, на новой 23-шке «Палю Тему» стал широким, аж как-то по новому ощущаться начал 🙂 Непривычно.
    По теме: Что-то нелегкая принесла на долю Вашу много испытаний — то контент тырят, то блоги ломают. Но, гораздо более приятно то, что хоть и с потерями (моральными), но, по сути Вам все испытания по плечу! Значит, как минимум, полезный опыт приобретен и закреплен на будущее. Вот это главное.

    P.S: открыл после длительного перерыва свой BlogBridge, попытаюсь разложить по полкам всё, что накопилось. Если что, не судите строго за мой комментаторский флуд 🙂

    • DivaDiiNo Gravatar (646 comments):

      Антон, Вы первый заметили новый дизайн. 🙂
      Я подозревала, что на широких экранах будет стрёмно. Но… новые веяния. 🙂
      Во всяком случае — всегда можно окно браузера сделать поуже..
      Всегда приятно общаться со старыми посетителями, чувствовать их внимание и поддержку.

      • AntonNo Gravatar (36 comments):

        Оно как-то само. Я просто помню, что на 19шке оно было узенько, что даже окно комментариев смотрелось как-то смешно. А сейчас все более лаконично и приятно. Старые посетители (на днях буквально старее на год стал) одобряют новые веяния 🙂 Да и как не проявлять внимание и поддержку, когда стиль изложения на свой собственный похож — читать одно удовольствие 🙂

        • DivaDiiNo Gravatar (646 comments):

          Спасибо, Антон.
          Я старалась учесть и сбалансировать:
          а) пожелания читателей расширить блок контента (и комментариев);
          б) свои чёткие представления о недопустимости большого количества знаков в широкой строке, с которой соскакивает взгляд.
          А кроме того — не слишком отличаться от предыдущего дизайна.
          Я, кстати, на Ваш блог частенько забегаю. Когда приходит рассылка, — то обязательно.

      • Вот какая я невнимательная! Вернее, заметить заметила, но почему-то промолчала. Придется невежливо встрянуть. )) У меня на большом экране блог смотрится просто великолепно! Солидно так! Все на месте, и всему места хватает.

  • Хорошо, что всё хорошо закончилось. Поздравляю. 🙂

  • lonelinessNo Gravatar (1 comments):

    Все же корень зла не в злых хацкерах, палящих из пушки ПО ВОРОБЬЯМ, а в недостатке компетентности автора и использовании гнилых движков..

    • DivaDiiNo Gravatar (646 comments):

      Такое впечатление, что Вы статью не прочитали. Или не поняли.
      Более того. На этом хостинге у меня были несколько сайтов на самых разных движках.
      Но хакеру было пофиг, на каком движке сайт.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Сколько будет? *



DivaDii, aka Надежда Лях на Google+  Вверх
Плюсани!

Интересная тема!

Записи по месяцам:

Подпишись!


Читать Палю Тему в Твиттере




Введите Ваш email-адрес:



с помощью FeedBurner

Рассылки Subscribe.Ru
Лента "Палю тему"

Наш опрос:

Оцените свой опыт в сайтостроении

Результаты опроса

Загрузка ... Загрузка ...

Цифирь: