Атаки на сайты обычно носят массовый характер. Такие атаки используют какую-то известную уязвимость в конкретной системе управления сайтом (CMS), которая позволяет загрузить на сервер файлы злоумышленника. Специально написанный для заражения сайтов скрипт ищет в интернете сайты на данной версии CMS и пытается внедрить свои файлы. Так атакуются миллионы сайтов, на десятках тысяч вредоносный код внедряется успешно.
Многие ошибочно полагают, что вредоносный код и вирус — это одно и то же. На самом деле это не совсем так, вирусы являются только частью проблемы, и не такой значительной как может показаться.
Кому нужно заражать мой сайт?
Первым делом каждый второй руководитель, узнав что сайт его компании заражен, думает про атаку со стороны «злых конкурентов». На практике же я ни разу не сталкивался с подобной причиной заражения. Целенаправленно атакуют банки и Пентагон, сайт компании малого или среднего бизнеса взламывать просто невыгодно и рискованно.
Атаки на сайты обычно носят массовый характер. Такие атаки используют какую-то известную уязвимость в конкретной системе управления сайтом (CMS), которая позволяет загрузить на сервер файлы злоумышленника. Специально написанный для заражения сайтов скрипт ищет в интернете сайты на данной версии CMS и пытается внедрить свои файлы. Так атакуются миллионы сайтов, на десятках тысяч вредоносный код внедряется успешно.
Самые популярные сценарии использования вредоносного кода:
- В 80% случаем на сайте создаются дополнительные страницы с текстами и ссылками на другие сайты. Такие ссылки на рынке SEO-продвижения активно продаются по цене от нескольких десятков до нескольких сотен рублей за штуку.
- Иногда сервер, на котором расположен ваш сайт, злоумышленники используют для рассылки спама. Из-за того, что спам рассылается с большого количества зараженных серверов, системы антиспама иногда ошибаются и пропускают письма.
Как понять, заражен ли сайт?
- Проверка через поисковые системы
Отметить сайт как зараженный могут Яндекс или Google. Чтобы это проверить, забейте в поисковую строку адрес вашего сайта. Если сайт заражен, то в результатах поиска он будет отмечен таким образом:
Кроме того, если Google внес ваш сайт в базу вредоносных, то вы на него не сможете зайти через браузер Google Chrome, будет показано предупреждение о том, что сайт заражен.
- Сканеры вредо носного кода
Их довольно много. Как правило, бесплатны, но проверку нужно запускать каждый раз вручную. Из-за того, что они работают с сайтом без прямого доступа к файлам, могут найти не все проблемы. Но, как правило, само наличие проблемы покажут. Правда, иногда такие сканеры находят проблему, которой на самом деле нет.
Самый известный из русскоязычных — virustotal.com. По-сути, он сам не является сканером, а отправляет сайт на проверку в несколько десятков других сканеров.
Из западных в качестве альтернативы можно порекоммендовать sitecheck.sucuri.net или quttera.com. - Лишние статьи и страницы на сайте
Если вы стали замечать появление непонятных страниц, статей и новостей на вашем сайте, то это тоже с большой вероятностью говорит о его взломе. Как правило, на таких страницах размещаются тексты совершенно не совпадающие по тематике с вашим сайтом (на сайте металлопроката статьи о колготках и т.п.).
Очень часто такие статьи маскируются старой датой. Например, статья размещается в 2017 году, а датируется 2010 годом. Это делается для того, чтобы такую статью заметили как можно позднее.
Чем это грозит?
Если сайт попадает в базу вредоносных сайтов Яндекса и Google, то из-за предупреждения об опасности вы лишитесь заметной части посетителей. Кроме того, не забывайте, что для пользователей браузера Google Chrome вы окажетесь также недоступны. Кстати, и FireFox пользуется данными одной из служб мониторинга вредоносного кода, так что и он может закрыть доступ к вашему сайту.
Если с вашего сервера начинает рассылаться спам, то возможны следующие проблемы:
- Компания, которая предоставляет хостинг для вашего сайта, может заблокировать ваш аккаунт и отключить сайт.
- Все рассылки и почтовые оповещения с вашего сайта начнут попадать в спам, даже если они им не являются. Например, если речь идет об интернет-магазине и на e-mail клиента отправляется уведомление о совершенной им покупке.
Что делать?
- Удалить вредоносный код
Для тщательного поиска вредоносного кода существует специальное ПО. Но удалением и восстановлением сайта должен заниматься программист с опытом такой работы, есть риск удалить файлы без которых сайт не будет работать.
Для работы обязательно нужны доступы к файлам сайта на сервере. Эти доступы можно запросить у компании, которая предоставляет хостинг вашему сайту.
Обязательно проследите, чтобы перед началом работ была сделана полная резервная копия сайта. Это обезопасит от ошибок программиста, который работает с сайтом. Такая же копия должна быть сделана и после завершения работ. Тогда у вас всегда будет «чистая» копия, с которой можно быстро восстановить сайт.
- Обновить версию системы управления сайтом
Как правило, если не обновить версию CMS до последней, скрипт злоумышленника через несколько недель опять загрузит вредоносный код на ваш сайт и проблема вернется.
Кроме того, обновлять нужно и дополнительные компоненты, которые поставлены на сайт. К сожалению, гарантированно узнать какую именно уязвимость использовал вредоносный скрипт практически невозможно.
- Поставить сканер вредоносного кода
На сайт можно поставить сканер вредоносного кода, например, virusdie.ru, который будет оперативно оповещать о проблемах на сайте. К сожалению, заявленная возможность автоматического лечения пока больше маркетинговый ход, чем полезный инструмент. Однако, именно как инструмент постоянного мониторинга он действительно хорош.
- Отправить заявку на исключение из баз вредоносного кода
Если сайт попал в одну или несколько баз вредоносных сайтов, необходимо отправить в их техподдержку заявку о том, что проблема уже решена. Это позволит быстрее исключить ваш сайт оттуда.
Особенно это критично, если на сайт «ругается» поисковая система или один из браузеров.