Очень важно знать как понять что сайт взломали чтобы вовремя идентифицировать проблему и сразу устранить причины.
В случае если проблема обнаружена сразу можно восстановить данные из резервной копии. Если же затянуть с решением резервной копии с рабочей версией сайта может не остаться, обычно хранятся резервные копии только за последние N дней (часто за неделю или две, в некоторых случаях дольше).
Конечно чтобы была возможность реагировать на ситуацию, нужно чтобы заранее был проведена подготовка к ней. Как минимум нужны резервные копии с данными сайта. А для выяснения причин взлома требуются системные журналы с сервера, на котором размещается сайт.
Как можно понять что сайт взломали
Для определения взлома сайта необходимо обращать внимание на несколько ключевых признаков. Первым и самым очевидным сигналом может быть изменение содержимого сайта без вашего ведома. Также следует обратить внимание на появление незнакомых файлов или скрытых ссылок, а также на ухудшение производительности или доступности ресурса.
Часто получив доступ хакеры меняют содержимое сайта чтобы каким-то образом использовать его в своих целях, например могут добавить переадресацию на какой-то фишинговый ресурс, на который будут попадать все посетители сайта.
Если сайт просто стал выдавать ошибку или белую страницу — причина также может быть во взломе и замене содержимого скриптов.
Другим популярным сценарием является добавление майнеров или других вредоносных скриптов, которые не имеют в качестве цели обмануть посетителей сайта, а используют ресурсы сервера. Таким образом на мощностях сервера могут выполняться облачные вычислительные операции, по результату которых взломщики будут получать криптовалюту. Признаком взлома с размещением майнеров является рост нагрузки на сервере без явных для того причин.
Когда на сайте появляется большое количество посетителей после запуска рекламной кампании нагрузка будет выше обычной, это нормальная ситуация. Когда нагрузка возрастает в разы при том же количестве посетителей — нужно выяснять причины. Дело может быть во взломе и использовании злоумышленниками ресурсов сервера для получения прибыли.
Другие признаки могут включать изменения в структуре URL-адресов, появление новых пользователей с административными правами, или даже появление сообщений о шантаже или требованиях выкупа.
Получив доступ к серверу злоумышленники могут похитить данные или зашифровать их, и требовать выкуп для расшифровки.
Как предотвратить взлом сайта
Важно регулярно проверять свой сайт на предмет изменений непонятной природы и использовать защитные меры, такие как обновление программного обеспечения и регулярное создание резервных копий данных для минимизации рисков в случае возможного взлома.
Код сайта и серверное программное обеспечение нужно регулярно проверять на наличие уязвимостей. Выявлять и устранять уязвимости желательно сразу на этапе разработки когда пишется код и планируется инфраструктура. В этом случае стоимость будет минимальной.
Тем не менее и для существующих проектов часто можно значительно повысить уровень защищенности без значительных финансовых затрат выполнив технический аудит. Библиотеки и зависимости сайта могут устаревать, в них могут обнаруживаться уязвимости.
Если определенная библиотека не имела уязвимостей на момент создания сайта, она может стать уязвимой и использоваться взломщиками позже. Выявить это позволят регулярные проверки уровня защищенности приложения.
В самом простом случае аудит предполагает проверку установленных версий программного обеспечения и проверку доступа к нему. В случае если проверки выполнять регулярно можно свести к минимуму риск взлома и все его последствия.
Если взлом сайта произошел
Когда обнаружено что сайт взломан, правильная последовательность действий должна быть такой:
- сохранить текущее состояние сайта, его можно будет проанализировать в дальнейшем и выявить как именно выполнен взлом
- проверить резервные копии и сохранить копию, в которой сайт находится в нормальном состоянии
- передать обе копии разработчику сайта или специалистам по информационной безопасности для выявления причин заражения и закрытия уязвимостей
- после того как уязвимости закрыты, повторно разместить сайт на сервере (если выяснится, что взлом был не на уровне программного кода, а на уровне серверного ПО, то нужно использовать для размещения сайта новый сервер или переустановить операционную систему на использованном ранее)
В случае если данные сайта зашифрованы обычно не стоит добавиться их расшифровки. Действовать можно по тому же принципу. Выявить причины взлома, предотвратить возможность повторного взлома тем же способом, разместить на сервере данные из резервной копии.
При обнаружении любого взлома или попытки взлома нужно проводить аудит безопасности сайта и сервера для выявления уязвимостей.
Читайте о том как отличить поддельный сайт.