Предупрежден — значит вооружен!
10 апреля 2014, 00:11, posted by Zhenek | SEO методы, SEO сервисы, SEO статьи |

1 продолжает делать все для того, чтобы топы по коммерческим тематикам были недостижимы. Сегодня по хорошему фарма кею довольно сложно увидеть в выдаче на высокой позиции что-нибудь кроме взломанных сайтов с залитыми дорами. Плохо это или хорошо зависит от того, на какой стороне баррикады вы находитесь. Если в топе ваш дор – это круто, но если там ваш сайт – это уже не столь приятно. Хакеров становится больше, а их умения совершенствуются.

В этой статье вы узнаете о нескольких простых методах взлома сайта и защиты от них. Конечно, в идеале необходимо предпринять меры, которые это предотвратят, но не для всех проектов рациональны услуги хороших админов. К примеру, для свежего блога, заточенного под одну таблетку, который начнет давать продажи (а может и не начнет) не сегодня и не завтра, не хочется тратить сотни долларов на настройку сервера и при этом не получить никаких гарантий. Судя по топам, там находятся с очень серьезными бюджетами и людьми в поддержке, а их тем не менее ломают. С другой стороны не каждый современный вебмастер настолько хорош в администрировании серверов, чтобы делать глубокие правки в их настройках. Поэтому большинство проектов остаются и без защиты, и без мониторинга о взломе.

Остановимся на очень полезной и важной функции, которая есть в современном интернете и будет нам необходима в дальнейшей реализации – уведомления по смс о полученном письме. Т.е. цель – получить email о проблемах с сайтом и сразу же получить уведомление по смс об этом email-е. В реализации может помочь ваш оператор, если он поддерживает функцию email-to-sms вашномер@sms.operator.ru. В этом случае все уведомления вы будете слать на такой адрес, но это неудобно, поэтому рассмотрим и другие методы, которыми можно пользоваться при необходимости.

Например, в сервисе Mail.ru после регистрации (желательно сделать новый акк) переходим в настройки и выбираем функцию sms-уведомления. Там увидим список доступных операторов – их довольно много и, возможно, там есть тот, который вас устроит. Добавляете номер и вам будут приходить уведомления о всех письмах. Такой метод не очень удобен, ведь вы будете получать кучу спама. Чтобы избежать этого, необходимо создать фильтр (что писать под каждый конкретный способ – будет указано ниже в его описании). Создаем дополнительную папку (Папки – Добавить папку), например – Мониториг. После чего идем в меню Фильтры и пересылка. В поле „От” впишем разный e-mail, исходя из того, какой метод будем рассматривать. Теперь идем в настройки Sms-уведомления и указываем системе уведомлять нас только о письмах полученных в папку Мониторинг:

4

Все, теперь у вас (у многих из вас) есть e-mail, при получении письма на который придет sms. Но, возможен и вариант как на скрине, и вы увидите надпись „Ваш оператор не поддерживает эту услугу”. Для решения проблемы нам необходимо обратится к другим сервисам, позволяющим получать sms на любые номера. Подобных ресурсов довольно много, существует платный, но недорогой сервис gmail.ru (оплата использования – 5 долларов за 2 года + 5 долларов за каждые 200 смс). Для того, чтобы начать использовать gmail.ru, необходимо зарегистрироваться на сайте, после чего вы получите адрес username@gmai.ru. Далее можно настроить пересылку почты на любой ящик (это необходимо сделать, чтобы контролировать качество и содержание получаемых уведомлений), а также создать получение уведомлений на любой номер мобильного. После того, как оплатите – переходите в настройки https://gmail.ru/sms/ и добавьте номер телефона. Там все довольно просто и понятно. Далее обязательно выберите опцию «Уведомлять только о письмах, отправленных с указанных ниже адресов почты»:

5

Основной целью взлома является или заливка доров, или простановка ссылок. Возможны варианты слива трафика и прочих неприятных вещей, но их заметить быстрей и гораздо легче. В первом же случае часто прибегают к использованию клоакинга — вы при заходе на сайт не видите ничего необычного, но видит Google. За помощью к нему и обратимся в первую очередь.

Идем на http://www.google.com/alerts — данный сервис позволяет получать уведомление на почту, если Google узнал об интересующем нас событии. В нашем случае это будет появление на сайте нежелательных новых страниц или слов (т.е. в случае, когда сайт будут использовать под простановку ссылок). Чтобы узнать об этом, создайте событие site:rxpblog.com Viagra OR Cialis OR Levitra, т.е. в момент, когда Google увидит, что на сайте появились эти слова – он уведомит нас по e-mail:

6

В поле Your email указываете почту, которую получили любым из методов описанных выше. Письмо о событии будет приходить с адреса googlealerts-noreply@google.com, его и добавляем на всех нужных этапах во все фильтры, описанные выше. Конечно же, в случае с часто обновляемыми аптеками, необходимо правильно подбирать слова для уведомлений, чтобы не получать таковые о своих же действиях. Это может быть препарат, с которым вы не работаете или другие популярные тематики – казино, покер, адалт, софт. Здесь существует еще один хороший способ получить уведомления по смс абсолютно бесплатно с помощью Google Alerts и сервиса IFTTT. Для этого необходимо создать рецепт RSS-SMS. Если использовать Google Alerts со своего акка Google, то на этапе выбора «Deliver to» можно выбрать не только e-mail, но и RSS фид.

7

Делаем это и получаем урл вида http://www.google.com/alerts/feeds/06532479474629933794/428535425859696344 сюда будут поступать все обновления по сайту, согласно заданным параметрам. Теперь, с помощью сервиса https://ifttt.com настраиваем событие, которое при добавлении нового урла в фид – отправит нам бесплатное смс. Для этого регистрируемся в сервисе и создаем рецепт (подробно о работе с этим ресурсом описано в этой статье). Ifthisthenthat – выбираем фид – New feed Item — Feed URL (адрес который мы получили выше) — ifFeed New feed item from thenthat – выбираем sms – Send me SMS – и на последнем шаге формируем сообщение (можно дописать что-то свое, чтобы сразу понять, что это не спам, а полезное ваше уведомление):

8

Далее во вкладке My Recipes Вы увидите готовый рецепт и возможность редактировать, включать и выключать его, когда вам это необходимо. Таким образом, уже через 15 минут после того как Гугл узнает о взломе вашего сайта, об этом будете знать и вы с помощью sms абсолютно бесплатно.

9

Часто сайт ломают с целью добавления ifarme или script кода для слива трафика или массового проставления ссылок. Все это делается автоматически и скрипт ищет основные файлы index.php, index.html и т.д. и дописывает туда перенаправляющий или добавляющий код. Этой особенностью можно воспользоваться и создать в корне вашего сайта пустой файл index.php/html в зависимости от того, какая у вас система. Для того, чтобы поисковики не обращались к нему как к главной странице сайта делаем следующее:

1. Закрываем инедексацию этого файла в robots.txt — Disallow: /index.htm/html/php/asp
2. Определяем через .htaccess главную страницу сайта (чтобы не произошло ошибки) DirectoryIndex index.php

Все, теперь пустая страница не будет видна и не будет мешать поисковикам, но софт взломщиков будет видеть ее как потенциально важную для простановки кода. Поскольку мы создали пустую страницу, ее размер будет 0 байт. В случае, если кто-то допишет что-то туда без вашего ведома – размер изменится. Специальный скрипт поставленный на крон может мониторить это событие раз в 15 минут и сообщать нам об изменении размера файла на email (с которого мы настроили смс оповещения).

Скачать скрипт можно здесь. По настройкам: укажите ваши данные в начале скрипта:
$mail_too=»ВАШАПОЧТА@gmail.com»;
$file=»http://site.com/rxptest.html»;

Протестируйте его, чтобы узнать с какого e-mail-а будет приходить почта и добавить ее в необходимые фильтры. Поставьте скрипт на крон с исполнением раз в 15 минут (или время на ваше усмотрение) и как только размер файла изменится, т.е. хакер попадет в ловушку, вы сразу же получите email/sms. Можно объединить/перемешать этот метод с остальными, например настроив через IFTTT оповещение о полученном письме на Gmail, но от этого суть метода не меняется.

12

Теперь перейдем к следующему шагу. Допустим, мы узнали, что нас взломали и надо это все чинить. Первым делом необходимо найти все зараженные файлы и очистить их от мусора. Для начала необходимо обратится к поисковикам и узнать, не считают ли они сайт опасным (это может серьезно повлиять на трафик и позиции). Для Google – идем в их google webmaster, добавляем сайт (если это еще не сделано, но лучше это сделать заранее) и переходим в пункт Crawl – Security Issues.

10

Там мы увидим, есть ли опасный код на сайте и если есть, то какой. Если нет – хорошо, ищем дальше, если да – чистим и подаем сайт на пересмотр Request a review. Довольно похожий функционал есть и в Яндекс Вебмастере, поэтому не будет лишним добавить сайт в оба инструмента и постоянно следить за этим. Яндекс дает громный выбор возможностей об уведомлениях (это необязательно должен быть ру-язычный сайт, а любой проект) http://webmaster.yandex.ru/settings/messages/types.xml — здесь можно задать пересылку сообщений об определенных событиях, нас интересуют следующие:

• Значительное увеличение числа ошибок;
• XSS атака на сайт;
• На сайте обнаружен потенциально опасный код;
• Скрытый текст на страницах сайта;
• Подозрительные страницы () на сайте.

Отметьте возле желаемых опций функцию «Пересылать на электронную почту» и если Яндекс Вебмастер решит, что случилось одно из событий упомянутых выше, то отправит сообщение вам. В разделе http://webmaster.yandex.ru/settings/messages/forwarding.xml укажите почту, которую сделали выше, чтобы сразу получить уведомление по смс. Но перед этим добавьте и подтвердите необходимый адрес на http://validator.yandex.ru/ и после этого он будет доступен для выбора:

11

С помощью этих легких манипуляций можно мгновенно получать смс в случае проблем с сайтом. Если же ни Яндекс, ни Гугл Вебмастерс не видят взлома, то нужно искать уже другими методами. Для поиска поврежденных файлов лучше всего использовать специальный софт, например Ай Болит — http://www.revisium.com/ai/. Он поможет нам найти следующие проблемы:

• Вирусы
• Редиректы в .htaccess
• Коды ссылочных бирж
• Дорвеи
• Скрытые ссылки

Качаем, устанавливаем согласно инструкции в корень сайта, чтобы обеспечить сканирование всех файлов. В файле ai-bolit.php задаем пароль для доступа к скрипту:

13

Запускаем сам скрипт таким образом: http://site.com/ai-bolit.php?p=nmXyVj8d3 (в конце указываете заданный пароль). Скрипт будет долго искать проблемы (если файлов много) и в конце выдаст вам все уязвимые места и зараженные файлы, сообщит о дорвеях и других радостях:

14

Также скрипт выдаст информацию о папках, в которые разрешена запись – если в этом нет необходимости – изменяйте права на них. По умолчанию скрипт ищет только по файлам .php и .html, чтобы рассширить круг поисков, необходимо в настройках в опции ‘scan_all_files’ => 0 изменить 0 на 1. В целом удобный и очень хороший сканер, который поможет найти вам большинство проблем.

Пару слов об элементарных мерах предосторожности, которые в значительной степени помогут избежать взлома.

    • Если вы с помощью Ай-болита обнаружили проблемные места и через логи нашли откуда «растут ноги», то следует предпринять некоторые меры (удалить все лишнее, сменить пароли и т.д.).
    • Для популярных cms существуют различные плагины и варианты защиты, которые очень легки в настройках и использовании, но усложняют взлом сайта. Например, для WordPress-а можно поставить плагин, который обезопасит нас от брута админки. Как вариант https://wordpress.org/plugins/login-lockdown/ . И при превышении количества попыток входа все желающие сбрутить пасс будут получать чудесное сообщение о невозможности этого.
    • Можно на уровне сервера защитить папку с админкой дополнительным паролем. В Direct Admin это делается нажатием на кнопку Protect и после настройки все желающие попасть в админку будут видеть окошко авторизации. А без возможности добраться до админки брутить ее довольно проблематично.
    • Можно ограничить всех желающих попасть к вам по ftp.
    • Многие вебмастера знают и активно используют файл .htaccess, но далеко не все юзают FTP аналог .ftpaccess, в котором точно также можно задать права на доступ по FTP, т.е. прописав в этот файл такие строчки (вместо цифр ваш IP адрес):

< Limit ALL>
Allow from 111.11.3.25
Deny from all
< /Limit>

Все описанные здесь методы и варианты защиты/мониторинга отнимут у вас совсем немного времени, вам не нужно часами изучать документацию и искать настройки сервера. Да, ни описанное здесь, ни написанное где-либо в другом месте не даст 100% защиты, но значительно защитит вас от плохих новостей и вовремя уведомит о них. Ведь самое главное — это своевременно узнать о проблеме, чтобы не терять траф и деньги.

Автор статьи: LoNduk.

16 комментариев
16 комментариев
  • комментарий by jkeks - 10.04.2014, 07:45

    jAntivirus — ежедневно проверяет сайт на новые ссылки, работает как сервис, ничего самому настраивать не надо. Однако сервис таки все равно для опытных.

  • комментарий by LoNduk - 10.04.2014, 08:32

    jkeks — спасибо, интересно. Но:
    1. Пишет вроде только про главные страницы сайтов
    2. Для этого надо разместить код сервиса на странице сайта.
    3. Не ясно используются ли методы анти-клоаки. Т.е. когда ссылки отдаются только ботам ПС.
    4. Не увидел в чем он там только для опытных, я о нем слышал в первый раз и на первый взгляд доверия он вызывает чуток меньше чем google или яндекс.

  • комментарий by lalala - 10.04.2014, 08:51

    как раз щас на одном сервере мне вордпрессы брутят)
    htaccess очень помогает, потому как брутят боты, и здравомыслящий взломщик на разгадывание htaccess их настраивать пока не будет — пока есть много других, незакрытых

  • комментарий by jkeks - 10.04.2014, 09:32

    LoNduk, клоаки не проверяет
    проверяет только главные, все верно
    опытность в том что когда в отчете придет список новых ссылок, некоторые просто не понимают, что это за ссылки, опасные ли они.. т.е. тут человек должен понимать что за ссылки пришли и он сам их оставлял или нет.

    В фоне сайты jAntivirus проверяются на вирусню от Яндекса и Гугла, пока эта информация не поступает в паблик, а работает лишь в качестве эксперимента.

    как например вчера оказалось что ~20% сайтов которые сидят на проверках вдруг неожиданно попали под санкции от Яндекса. Авторы сайтов никак не связаны. Что будет сегодня неизвестно.

    К тому же у jAntivirus в правилах написано что вся информация полученная при проверках может быть открыта для всех. т.е. там никакой секретности нет, хотя пока в паблике ничего нет.

  • комментарий by novakoin - 12.04.2014, 01:34

    спасибо!
    не дай Бог кому wonder script зальют, страшная штука
    тут упоминания
    http://www.claudiokuenzler.com/blog/382/hack-attack-wonder.php-rusztiko.com#.U0h2u_l_u1J

  • комментарий by Devvver - 18.04.2014, 05:18

    Гугл Алерт хорош для отслеживании упоминаний бренда или упоминаний.
    Я юзаю, чтобы знать , что обо мне пишут в интернете

  • комментарий by Андрей - 13.05.2014, 18:09

    Действительно, если поисковик считает сайт подозрительным (опасным), идет очень большая потеря трафика.
    Я как то раз скачал скрипт, который находился в свободном доступе в сети и установил на сайт. Пару недель все было нормально, затем началось: стал реагировать AVG при открытии сайта, затем Яша начал считать сайт вредоносным.
    А я уже забыл про тот скрипт. Еле нашел причину за три дня и удалил. Через пару недель трафик с поисковых систем поднялся до прежних показателей.

  • комментарий by Надежда - 23.05.2014, 16:52

    У меня стоит login-lockdown. он не только ограничивает попытки, но и сообщает что они были, ко мне уже стучались, хотя сайт не такой уж раскрученный, не пойму почему. как вообще выбирается объект для взлома? Кто знает?

  • комментарий by Zhenek - 23.05.2014, 21:42

    Надежда, особое внимание привлекают сайты с высоким PR, которые созданы на базе WordPress.

  • комментарий by Дмитрий - 13.06.2014, 05:57

    Вообще для защиты вордпресс существует огромное количество различных плагинов. А вот работают ли они.

  • комментарий by Геннадий Ольховский - 24.06.2014, 15:28

    Спасибо автору за информацию, таких проти-хаков не встречал. Пользуюсь обычными способами — плагины. Теперь нужно испытать способы по Вашим советам.

  • комментарий by Olunka - 1.07.2014, 15:04

    Ох и надоел этот гугл со своими смсками по делу и без дела. Он меня прямо спамит, не знаю как отключить

  • комментарий by Никита - 13.10.2014, 21:45

    Попробую найти золотую середину, один плагин ваш метод и конечно htaccess вот будет сила)) Надо посмотреть логи, может что то интересное найдется, а потом уже и защиту усиливать!

  • комментарий by Flangе - 5.11.2014, 02:14

    Неплохое уведомление, но ведь с «дырой» в сайте почти бесполезны подобные оповещалки. С другой стороны типовую форму защиты от шеллов не описать… Спасибо за тему, опробуем!

  • комментарий by Анaтолий - 17.02.2015, 17:55

    как вообще выбирается объект для взлома? Кто знает? методом анализа блога или сайта

  • комментарий by Зенков Андрей - 25.08.2017, 15:02

    Оповещения от гугла приходят достаточно часто, а толк от них не всегда есть. Антивирус выручает.

Оставить комментарий

(обязательно)
(обязательно)
Введите свой email:

Разделы

Теги

Полезные сайты