В большинстве случаев владелец сайта узнает о его взломе только после того, как получает от хостинг-провайдера сообщение о том, что сайт производит спам-рассылку или участвует в DDoS атаке. К этому времени найти точки входа вредоносного ПО практически невозможно. Злоумышленник не сразу запускает его на зараженной «машине» и специально делает свое «грязное дело» с максимально отложенным сроком.
Подозрением на заражение сайта могут служить:
- повышенная нагрузка на хостинг-сервер, о которой сообщает хостинг-провайдер;
- появление частых ошибок о нехватке ресурсов хостинг-сервера;
- большая почтовая очередь исходящих писем;
- IP-адрес в Black-листах;
- подозрительные страницы в поисковой выдаче;
- редирект сайта / мобильный редирект.
Разумеется, заражение сайта влияет и на поисковую выдачу.
Давайте попробуем разобраться с указанными выше признаками.
1. Повышенная нагрузка на VPS или на виртуальную площадку.
2. Появление частых ошибок или уведомлений о недостаточности ресурсов.
Мы сознательно сгруппировали данные признаки. Если ваш сайт стал потреблять больше ресурсов, чем обычно — это повод проверить его на вредоносную активность. Например, если на виртуальной площадке или VPS резко выросла нагрузка на процессор и трафик, то вероятнее всего работает скрипт DDoS, который создает подключения к удаленному серверу. Если резко возросло потребление оперативной памяти (ОЗУ), то стоит посмотреть информацию о потреблении ресурсов. Проверку можно выполнить с помощью команд в SSH: ps aux или top. Если это процессы httpd/apache, то необходимо посмотреть, что это за процессы и с чем они работают. Их можно проверить командой lsof -p «PID» (без кавычек). PID, можно получить в команде ps aux или top.
В результате выполнения команд мы получим директорию, откуда загружался скрипт.
Все, что нам будет нужно — удалить вредоносный файл. Если найденный файл является файлом CMS или есть подозрения, что его удаление скажется на работе CMS, лучше всего перед его удалением проконсультироваться со специалистами.
3. Большая почтовая очередь исходящих писем.
В этом случае также возрастает нагрузка на VPS или площадку. Однако фактором, косвенно свидетельствующим о заражении, будет очень медленная отправка почты. Если у вас в очереди
100 000 писем, то отправленное вами реальное письмо до адресата дойдёт не скоро. Как правило, зараженные сайты имеют очередь от 100 тысяч до нескольких миллионов писем. Стоит ли говорить о том, что такая большая очередь занимает крайне важный ресурс: «свободное место на диске» – и может привести к переполнению дискового пространства на вашей площадке и, как следствие, к некорректной работе множества сервисов. Например, в случае отказа сервиса базы данных из-за нехватки дискового пространства может быть утеряна часть ее данных. Для решения описанной ситуации необходимо определить, каким образом отправляется спам. Через подобранный пароль к почтовому ящику или через скрипты сайта. Во втором случае проанализировать ситуацию поможет информация из пункта 1.
4. IP-адрес в Black-листах.
Проверьте наличие или отсутствие IP-адреса вашего VPS в черных списках.
Black List — список IP-адресов, которые себя скомпрометировали рассылкой спама, DDoS атаками, брутфорсом или другими противоправными действиями. Проверить IP-адрес вашего VPS можно с помощью следующих сервисов:
http://mxtoolbox.com/blacklists.aspx
http://www.dnsbl.info/dnsbl-database-check.php
Важно заметить, что если вы размещаетесь на виртуальном хостинге, где на одном IP-адресе находится большое число сайтов, то есть существует вероятность, что заражены не вы, а один из ваших «соседей» по хостингу. Но в этом случае хостинг-провайдер, как правило, в курсе ситуации и решает её в самые короткие сроки.
5. Подозрительные страницы в поисковой выдаче.
Если вы заметили в сервисах аналитики, что в поисковой выдаче появились непонятные страницы, но вы уверены, что их быть не должно — проверьте сайт на наличие подозрительного ПО. Злоумышленник мог загрузить страницу на сайт и добавить её в индекс, желая прорекламировать сторонний ресурс или собрать конфиденциальную информацию о пользователях — так называемый «фишинг». Чаще всего для «фишинга» используются страницы, которые визуально схожи со страницами банков, как правило, иностранных. Также злоумышленник может вставить в уже существующие страницы свой код, что менее заметно для владельца сайта. В этом случае необходимо анализировать и количество исходящих ссылок с сайта.
6. Редирект сайта / мобильный редирект
Данный вид взлома наиболее распространен. Как правило, владелец вообще не замечает редиректа, так как он нацелен на определенный тип клиентов. В файл .htaccess , или в файл, отвечающий за роутинг страниц CMS, добавляется вредоносный код, который переводит определенного клиента на определенную страницу. Сервер всегда видит, кто к нему подключается. Например клиент, который использует мобильное устройство Samsung. Файл .htaccess (для примера) имеет некоторый код, который определяет пользователя с устройством Samsung и перенаправляет такого пользователя на другую страницу. Таким образом, вы теряете своего клиента, который, к тому же, теперь может заразиться сам, через страницу, на которую произошел редирект.
Определить с какого мобильного устройства пришел клиент не так уж и сложно:
RewriteCond %{HTTP_USER_AGENT} (?i:midp|samsung|nokia|j2me|avant|docomo|novarra|palmos|palmsource|opwv|chtml|pda|mmp|blackberry|mib|symbian|wireless|nokia|hand|mobi|phone|cdm|upb|audio|SIE|SEC|samsung|HTC|mot-|mitsu|sagem|sony|alcatel|lg|eric|vx|NEC|philips|mmm|xx|panasonic|sharp|wap|sch|rover|pocket|benq|java|pt|pg|vox|amoi|bird|compal|kg|voda|sany|kdd|dbt|sendo|sgh|gradi|jb|dddi|moto|iphone|android) [NC]
Взломанные сайты часто используются для Spamvertise. Spamvertised — это рассылка с рекламой стороннего ресурса. Вы можете не рассылать спам, но на вашей площадке может быть размещён файл, на который будет ссылка в СПАМ-письме. В этом случае вы рискуете получить уведомление о проведении Spamvertised-рассылки от хостинг-провайдера.
Файл же будет содержать вот такой код:
Открывая эту страницу, вы видите текст Loading…, после нескольких секунд вас переадресовывает на другую страницу. Указанный выше пример самый распространенный.
Есть аналогичные примеры, в которых редирект сделан на php или JS.
Как правило, такие страницы присутствуют на взломанной CMS в нескольких экземплярах.
Их нужно найти и удалить. Данные действия лучше поручить профессионалам, так как редирект может быть встроен в код системы управления контентом. В этом случае, удалив что-то не то, существует вероятность получить полностью нерабочий сайт.
Проверить сайт на наличие мобильных редиректов можно с помощью сервиса: http://secu.ru/online-services/redirect
Hoster.ru уже несколько лет производит удаление вредоносного кода и база Webshell сформированная за это время огромна. С каждым обновлением CMS уязвимостей становится меньше, однако за время жизни такого обновления они снова появляются и открываются злоумышленниками. Обновляйте вашу CMS регулярно – пока это лучший способ защиты.
