Безопасность сайта: поиск вирусов и троянов

Оглавление

Сегодня атаки злоумышленников и вредоносные программы стали неотъемлемой частью нашей повседневной жизни, а обеспечение безопасности данных и персональной информации становится приоритетом высшего порядка.

Кто зарабатывает на вирусах?

Большинство считает, что заражение видно сразу – на главной странице появится баннер или начнёт всплывать навязчивая реклама. На самом деле, вирус может действовать незаметно.

Сначала на ваш сайт загружается скрипт, который собственно и представляет собой «троян». Этот скрипт будет выполняет команды злоумышленника. Зачастую, внедрение вируса происходит не адресно – хакеры просто ищут уязвимости на сайте, а затем выставляют на форум, продавая уязвимость и скрипт, который там установлен. 

Тот, кто приобрел эту уязвимость, начинает вставлять в код ссылки разных типов:

• для продвижения продукта или услуги;
• для переадресации пользователей на другой сайт (часто фишинговый);
• для получения личных данных пользователей.

Цифровой Элемент предлагает комплексные решения для обеспечения безопасности вашего сайта, включая как реагирование на атаки и восстановление после них, так и проактивные меры, такие как организация защиты, аудит безопасности и проверка на вирусы, а также выявление внедрений постороннего кода.

Как ломают сайт?

Специалисты Цифрового Элемента всегда готова помочь клиентам, которые обеспокоены безопасностью своих сайтов и веб-сервисов. Мы регулярно проводим аудит безопасности инфраструктуры клиентов, выявляем вредоносный код и избавляемся от него, если он был найден.

Каким образом это происходит?

Процедура взлома состоит обычно из двух частей:

1. Загрузка вредоносного кода в файлы сайта, при этом этот вредоносный код хорошо маскируется под ту платформу, на которой сделан сайт. Неопытному разработчику определить такой код очень трудно. 
2. А далее происходит собственно атака - это может быть добавление на страницы сайта редиректов на другой сайт, размещение противоправного контента, или же размещение шлюза для атак на другие сайты или рассылку спама.

Летом 2023 года мы уже писали о массовых атаках на сайты, разработанные на платформе 1С-Битрикс, и о том, как защититься от таких атак.

Почему это происходит?

Виртуальный хостинг. Низкая цена и отсутствие необходимости хранить данные на физическом жестком диске привлекает к выбору такого хостинга для проекта. Но он не предоставляет изоляцию данных клиентов – взлом одного сайта на таком хостинге ведёт к взлому соседних с ним. Проблема в том, что обеспечивать безопасность такого хостинга слишком дорого, поэтому этого не делается. 

А иногда и взлома не надо – достаточно зарегистрировать тестовый аккаунт и можно получить доступ к администрированию соседних сайтов, а также полностью управлять их базой данных, загрузив такой скрипт и запустив его в браузере.

Администрация хостингов реагирует на жалобы и устраняет уязвимости. Но таких прорех в их работе очень много. Поэтому шансов дать полный доступ к своему сайту злоумышленнику велик, если используется виртуальный хостинг.

Старое ПО. Очень часто на этом же виртуальном хостинге (и не только) можно получить доступ к программному обеспечению (FCKeditor, joomla и пр.). Новые версии программного обеспечения учитывают опасности взлома и уязвимости в них устранены. Но тут работает психологический момент – если программа автоматически не обновляется сама, то её зачастую не обновляют. А мануалов по тому, как взломать старую версию на форумах хакеров очень много. 

Мы недавно как раз писали о том, как важно обновлять программное обеспечение, а особенно платформу, на которой разработан сайт. Как сертифицированный разработчик на 1С-Битрикс специалисты Цифрового Элемента подготовили чеклист частых ошибок при переводе сайта с php 7.x на php 8.x.

Заражение компьютера. Иногда заражается локальный компьютер на операционной системе семейства Windows. И тогда злоумышленник получает доступ к сохраненным паролям браузера. 

Ненадёжные пароли. Собственно, сами пароли не всегда бывают надежны. Например, “111111” или “123456” и т.д. И многие ещё выключают у группы администраторов капчу. 

Человеческий фактор. Ну и не будем сбрасывать со счетов человеческий фактор. В попытках экономии компании часто выбирают разработчиков по принципу – дешевле, быстрее и дают доступы к сайту непроверенным специалистам. Какой-нибудь обиженный или просто недобросовестный исполнитель на разовой работе может оставить на сайте трояны. 

Один из эффективных способов защиты своего сайта – проведение аудита безопасности. Поэтому давайте рассмотрим, как проходит это мероприятие.

Тестирование на проникновение

Чаще всего проверка защищенности ресурса проводится по методу «черного ящика» — специалист по безопасности начинает попытки взлома своей цели, как если бы он был реальным злоумышленником и преследовал какую-либо корыстную цель: хакнуть конкурента, атаковать посетителей сайта, в тайне от владельца монетизировать сайт или просто потешить свое честолюбие.

Таким образом, специалист должен решить хотя бы одну из глобальных задач:

• Нарушить конфиденциальность информации заказчика.
• Ограничить доступ к ключевым данным.
• Изменить или уничтожить какие-либо сведения без возможности их восстановления.
• Внедрить вредоносный код.

Как видно из этого перечня, нельзя просто так взять и провести аудит сайта. Нужна определенная подготовка к процедуре, без которого оно либо будет неэффективно, либо может стать настоящей хакерской атакой с печальными последствиями. Базово, следует сделать следующее:

1. Подписание соглашения о неразглашении. Исследователь в ходе своей работы может получить доступ к очень ценной конфиденциальной информации. Солидные организации, занимающиеся тестированием безопасности, вряд ли будут пользоваться ею в своих целях, но не всегда есть возможность проверить честность исполнителя, поэтому договор лучше заключить.
2. Проведение аудита на полной копии основного сайта. Тестировщик будет применять все методы хакеров, в том числе и приводящие к поломке веб-ресурса либо уничтожению данных на нем. Лучше не подвергать боевую версию проекта такому стрессу и ограничиться тестовой копией вашего сайта.
3. Выбирать проверенного подрядчика с уже наработанной экспертизой в подобных тестах. 

Digital-интегратор Цифровой элемент обладает всеми необходимыми компетенциями. Мы предоставляем комплексные решения для обеспечения безопасности вашего веб-сайта, которые включают в себя не только реакцию на атаки и восстановление после них, но и принятие проактивных мер, такие как организация защиты, аудит безопасности и проверка на вирусы, а также выявление внедрений постороннего кода.

Методы тестирования на проникновение

Поиск по открытым источникам. Так как используется способ «черного ящика», то тестировщик абсолютно не в курсе, как выглядит атакуемый объект изнутри, иначе взлом был бы крайне тривиальной задачей. Поэтому в ход идет предварительный сбор информации.

Специалиста в первую очередь интересует техническая сторона веб-приложения – на каком языке оно написано, какую CMS использует и с какими расширениями. Узнать все это можно даже не прибегая к специальным средствам, иногда хватит только Google. Например, можно найти в LinkedIn сотрудников атакуемой компании, выделить среди них программистов и определить, на каком стеке они специализируются.

Более того, при желании можно выяснить, и чем конкретно они занимались. Для этого достаточно поискать по их именам или никнеймам, и можно найти в выдаче много чего интересного. Это может быть, например, обсуждение от имени этого программиста какого-либо модуля для движка или заказ с корпоративного аккаунта у фрилансера-подрядчика нового плагина с подробным ТЗ.

Определение защитных средств. Наличие какого-либо софта для безопасности – систем предотвращения вторжения, защиты от DDoS, межсетевого экрана — может серьезно усложнить задачу по взлому, поэтому его необходимо обнаружить. Обычно для этого применяются специальные программы. К примеру, обнаружить наличие фаервола можно с помощью сканера портов, а антиддос-сервисы определяются по DNS-записям домена.

Использование стандартных уязвимостей. Прежде чем начинать искать неизвестные уязвимости нулевого дня, изучать логику работы веб-приложения и его архитектуру, тестировщик проверяет устойчивость сайта к обычным методам атаки. Например, это может быть использование известного эксплойта к старой версии движка. Именно на этом этапе и пострадали вышеупомянутые Interpark и форум Ubuntu.

В общем виде на этом этапе обычно происходит следующее:

• Попытка удаленного выполнения кода.
• Попытка SQL-инъекции.
• Эксплуатирование XSS, RFI и LFI уязвимостей.
• Поиск мест хранения backup-ов и получение доступа к ним.
• Манипуляции с системой авторизации: брутфорс, поиск небезопасного восстановления пароля, обход аутентификации.
• Изучение файловой структуры сайта с целью обнаружения файлов, доступ к которым ограничен только отсутствием явной ссылки на него.
• Перехват трафика и его исследование.
• Поиск вариантов несанкционированного доступа к конфиденциальной информации.

Нешаблонный подход

Когда общеизвестные методы не помогают, специалист по безопасности с помощью комбинации всех вышеописанных способов и своего понимания систем безопасности пытается обойти существующую защиту, либо обнаружить неизвестную до сих пор уязвимость.

Далеко не все аудиторы проводят данную процедуру, т.к. она достаточно сложна, требует очень высокой квалификации специалистов и стоит немало. Как показывает практика, очень часто уязвимости нулевого дня обнаруживаются сторонними исследователями. Однако и вознаграждение за их находку они получают соответствующее.

На самом деле, если ваш сайт успешно проходит тестирование на все стандартные виды угроз, то проверку можно считать успешной. Более детальное и глубокое изучение методов взлома актуального только для очень крупных проектов, для взлома которых могут привлекать действительно высококлассных хакеров, способных обнаруживать новые бреши в защите.

Как защититься от взлома?

К сожалению, на обычном виртуальном хостинге рядовые пользователи не могут самостоятельно обеспечить защиту данных. Единственная доступная возможность – вовремя сообщить об уязвимости, чтобы администрация хостера приняла меры.

Наши советы:

• Используйте только случайно сгенерированные пароли из набора символов в разных регистрах, цифр и спецсимволов длиной не менее 8 символов.
• Создавайте разные аккаунты для разных сайтов, систем, сервисов.
• Установите двухфакторную авторизацию там, где это возможно.
• Проверьте, чтобы учетные данные ваших сайтов, доменов, сервисов и так далее имеются у вас.
• Проверьте, чтобы домен сайта и хостинг был зарегистрирован на вас или вашу компанию во избежания хи потери.
• Обязательно побеспокойтесь о том, чтобы у вас регулярно создавались резервные копии ваших сайтов с различной глубиной - сутки, недели, месяцы.
• Откажитесь от услуг фрилансеров или неконтролируемой передачи различных учетных данных.
• Работайте только с проверенными и надежными контрагентами, бизнес-процессы которых настроены таким образом, что утечка данных сводится к минимуму.

Специалисты компании Цифровой Элемент обладают большим опытом и высокой глубокой экспертизой в современных методах угроз и методах защиты, помогут защитить ваш сайт, ваши данные и данные ваших пользователей.

Кто ломает сайты?

Среди хакеров на самом деле мало тех, кто способен взломать сайт. Чаще используются уже готовые инструкции и скрипты, написанные опытными взломщиками. Доказательством этого утверждения служит то, что сайты ломают одинаково. 

С одной стороны это свидетельствует, что есть группа людей, любящих ломать, а с другой – что есть возможность принять простые меры по защите сайта.

Вирус или взлом

Для большинства владельцев сайтов нет разницы между взломом сайта и заражением его вирусом. Однако это разные вещи. 

Вирус изначально живет на вашем компьютере и использует ваши пароли, чтобы заменить файлы на сайте по прописанному скрипту.

Хакер же действует более аккуратно и имеет точечную конкретную цель.

С вирусом можно бороться:

• вылечить компьютер;
• удалить вирус с сайта или восстановить старую, не зараженную версию. 

С хакером бороться сложнее – сначала надо понять, как злоумышленник попал на сайт, при этом зачастую точек доступа бывает несколько. 

Впрочем, главное понимать – зачастую хакер использует уязвимости, которые создал вирус, поэтому нужно заботиться о чистоте своего компьютера, обновлять антивирус. 

Вывод

Ваш сайт — это ваш актив, ключевой инструмент вашего присутствия в интернете, предоставляющий множество возможностей для привлечения клиентов и продвижения вашего бренда. Однако, несмотря на все преимущества онлайн-пространства, полная гарантия защиты в интернете отсутствует. Сегодняшние вирусы, с которыми успешно справляются специалисты, могут изменяться, требуя постоянного поиска новых методов и инструментов для их выявления и устранения.

Если у вас есть опасения относительно безопасности вашего сайта или данных, обратитесь к нам в Цифровой Элемент. Наши специалисты обладают высокой квалификацией для решения задач информационной безопасности.

Услуга на Сопровождение и развития сайта Заказать услугу