×
Россия +7 (495) 139-20-33

Скрытая угроза: веб-атаки 24x7

Россия +7 (495) 139-20-33
Шрифт:
0 10385
Подпишитесь на нас в Telegram

Обычно про безопасность и защиту сайтов владельцы и вебмастера задумываются слишком поздно, когда уже возникают видимые и очевидные проблемы: сайт перенаправляет посетителей на рекламные и вредоносные ресурсы, блокируется хостером за спам/фишинг/вредоносную активность, забанен в поисковой системе. То есть когда хакер уже взломал сайт, закрепился на нем и начал генерировать вредную “полезную” нагрузку. Но это происходит не внезапно и не случайно. Процессу взлома всегда предшествует серия атак, которая проводится хакерами или их ботами с целью разведки: обнаружения уязвимостей или скрытых данных, которые можно использовать для взлома и получения несанкционированного доступа к веб-ресурсу. Данные атаки внешне не заметны, поэтому сайтовладельцы в большинстве случаев пребывают в неведении о том, что их ресурсу что-то угрожает (мало кто из них регулярно анализирует логи веб-сервера или пользуется специализированными решениями для детектирования веб-угроз).

Кроме того, значительно снижает бдительность еще и пара заблуждений:

1. “кому я нужен?”

2. сайты взламывают только по заказу конкурентов.

Сторонники первого утверждения не считают свой ресурс хоть сколько-то важным и интересным для хакера; приверженцы теории про исключительный “взлом по заказу” считают, что их сайту ничто не угрожает, поскольку ресурс новый/непопулярный/региональный, а бизнес - вне конкуренции. И первые, и вторые пребывают в опасном неведении до тех пор, пока сайт не оказывается взломанным, после чего идет серия удивлений и безуспешных попыток найти виновника инцидента.

Как обстоит дело c безопасностью сайтов в реальности?

Вопреки бытующему мнению о том, что активно атакуют только популярные, посещаемые ресурсы, любой сайт, который появился в поисковой выдаче, в соцсетях или каталогах сайтов (то есть стал публичным), подвергается хакерским атакам. Подавляющее большинство атак на сайты является “нецелевыми” или “обезличенными”, поскольку злоумышленник не ставит задачей взломать конкретный сайт. Его цель – собрать как можно большую базу ресурсов, уязвимых к определенным видам атак, чтобы затем провести взлом или их компрометацию автоматизированными средствами в течение нескольких секунд. Так хакеры собирают себе армии ботов, площадки для хостинга вредоносных скриптов, фишинговых страниц и спам-рассылок. Плохим парням все равно, насколько популярен сайт, какая у него аудитория и тематика, насколько он важен для бизнеса. Сайт представляет ценность только как ресурс хостинга, где есть возможность разместить “зловреды” или с которого можно провести целевую атаку на какой-то определенный веб-ресурс.

1.png

Стоимость взлома сайта настолько ничтожна, что не выдерживает никакой конкуренции в сравнении с абузоустойчивыми хостингами, которыми пользовались хакеры несколько лет назад. То есть сейчас им дешевле взломать сотню сайтов на уязвимой Joomla или Wordpress и использовать их для рассылки спама, чем арендовать и настраивать для тех же целей виртуальный сервер.

С каждым годом инструментальные средства для “разведки”, эксплуатации уязвимостей и, в конечном счете, взлома сайта становятся дешевле и доступнее (Не секрет, что большинство хакерских утилит можно скачать на форумах и блогах, а видео-инструкцию посмотреть на youtube). Поэтому число нецелевых атак на сайты, и, как следствие, вероятность взлома, растет чуть ли не в геометрической прогрессии. Если раньше владельцы сайтов и веб-мастера могли рассчитывать на большую долю везения и проблема взлома часто обходила их стороной, то сейчас защитить ресурс от взлома поможет только осведомленность и внимание владельца/подрядчиков к вопросам информационной безопасности. В этой статье мы осветим несколько важных моментов, о которых следует знать всем, кто поддерживает свои сайты или ресурсы клиента.

Чтобы не быть голословным, приведем пример того, как хакер может быстро находить жертв для нецелевого взлома, не прибегая даже к специализированным средствам. Ему достаточно воспользоваться поисковой системой Google и специальной базой запросов, которая называется Google Hacking Database. Данная база содержит перечень запросов (“дорков”) для поиска сайтов, уязвимых к определенным типам атак или содержащих незащищенные файлы с паролями, резервными копиями сайта, адресами закрытых разделов и т.п.

2.png

Предположим, хакеру нужно получить доступ к резервным копиям базы данных сайта на Wordpress. Он вводит в поисковую строку “дорк” (не пытайтесь повторить это дома!). И получает список сайтов, на которых администратор забыл закрыть доступ к каталогу uploads с резервными копиями базы данных (а это случается очень часто).

3.png

Из дампов хакер может извлечь много полезной для взлома информации. Например, логин администратора и хэш пароля, который расшифровывается специальными сервисами за считанные секунды. Так хакеры получают административный доступ к сайтам, а дальше могут загружать вредоносные скрипты, оставлять закладки, взламывать соседние сайты на аккаунте и т.п.

4.png

Весь процесс взлома занимает пару минут, а автоматизированные средства, которыми располагают хакеры, осуществляют за то же время сотни, если не тысячи взломов.

Для того чтобы искать жертв, хакерские боты постоянно “простукивают” сайты, попадающие в поисковую выборку по определенным “доркам”. Поэтому, если сайт доступен в поисковой выдаче, то несколько раз в сутки к нему обязательно “постучатся” и проверят, не содержит ли он какую-то уязвимость, через которую его можно взломать, не открыт ли у него доступ к служебным файлам (резервным копиям, дампам базы данных, файлам настроек и т.п.). Одни боты собирают информацию, другие ее эксплуатируют. Естественно, вручную с тысячами сайтов уже не работают, все делается на автомате.

Важно принять тот факт, что сами атаки на сайт невозможно остановить и с ними бесполезно бороться (разве что полностью запретить индексацию сайта поисковиками, не размещать на него ссылок и закрыть от публичного просмотра – что, согласитесь, странно). Но нецелевые атаки можно сделать максимально безопасными для сайта. Для этого потребуется сделать следующее:

1. Принять и осознать факт постоянного сканирования / атак на сайт, здраво оценить риски и последствия (взлом, компрометация доступов, доступ к конфиденциальной информации и т.п.)

2. Выполнить аудит безопасности сайта: просканировать на уязвимости, проверить настройки, файловую систему и базу данных. Это можно сделать самостоятельно или с привлечением соответствующих специалистов.

3. Внедрить технические меры защиты сайта от взлома: обновить CMS и плагины, выполнить “цементирование” сайта, разместить сайт за файрволлом (подключить к сервису облачного WAF и защиты от DDOS), установить мониторинг сайта.

4. Разработать политику безопасности при администрировании и поддержке сайта – организационные меры, которые повысят безопасность ресурса.

5. Постоянно помнить о том, что безопасность – это процесс, а не разовые меры, и она не бывает удобной.

Хорошая новость в том, что для защиты от нецелевых атак, которые составляют по нашим оценкам порядка 95%, достаточно внедрить хотя бы даже часть технических мер, и это уже существенно снизит риск взлома. Главное, чтобы ваш сайт не был «среднестатистическим». То есть даже небольшое внимание к вопросу информационной безопасности сайта сделает его более защищенным от агрессивного интернета.

Есть о чем рассказать? Тогда присылайте свои материалы Марине Ибушевой


Новые 
Новые
Лучшие
Старые
Сообщество
Подписаться 
Подписаться на дискуссию:
E-mail:
ОК
Вы подписаны на комментарии
Ошибка. Пожалуйста, попробуйте ещё раз.
Отправить отзыв
ПОПУЛЯРНЫЕ ОБСУЖДЕНИЯ НА SEONEWS
Накрутка поведенческих факторов: дорого, сложно, но можно. Если очень хочется
Oleg_bobr2012
1
комментарий
0
читателей
Полный профиль
Oleg_bobr2012 - Мда...Может Анне сразу в Яндекс написать кейсы по накрутке ПФ. Я бы такого сотрудника гнал вон.
28 способов повысить конверсию интернет-магазина
Татьяна
1
комментарий
0
читателей
Полный профиль
Татьяна - Очень действенные рекомендации представлены в статье! Всё четко расписано и легко внедряемо в работу интернет-магазинов.Удобство и наглядность+различные бонусы и скидки-именно то, что и цепляет покупателя.
7 актуальных сервисов для анализа сайта: сравнительная характеристика
Jenimeon
1
комментарий
0
читателей
Полный профиль
Jenimeon - SimilarWeb один из моих фаворитов, частенько им пользуюсь. Ценник не малый, но функционал хороший. Be1 тоже годный.
Как онлайн-магазинам получать максимум трафика с помощью Поиска по товарам Яндекса
Гость из Тюмени
1
комментарий
0
читателей
Полный профиль
Гость из Тюмени - Производим пиломатериалы под заказ, от 1 до 14 дней. Яндекс постоянно банит наш яндекс фид по причине отсутствия товара на складе во время своих тайных проверок. Не возможно донести до модератора, что мы работаем под заказ, поэтому товара нет на складе, т.е. пришёл заказ - мы изготовили.
Создали ресурс для металлургов, который позволяет следить за аналитикой рынка и осуществлять продажи
Наталья Сталь
3
комментария
0
читателей
Полный профиль
Наталья Сталь -
Какие сайты лидировали в поиске Яндекса и Google в 2023 году
Гость
1
комментарий
0
читателей
Полный профиль
Гость - Если что по рейтингу вы не правы, есть ядро по которому производиться оценка и вы можете по нему самостоятельно все посмотреть. Единственный объективный рейтинг по SEO. Других не знаю Ну я вам скажу что это не так и в предыдущие года сайт моего клиента попадал в рейтинг, при чем несколько раз. И я прекрасно знал еще до объявления результатов кто лидер - рейтинг прозрачный, есть фразы по которым набираются баллы. В этом году наш сайт не попал в рейтинг например и это было понятно, что не попадет (по статистике позиций)
5 способов увидеть сайт глазами поисковика: анализируем скрытый контент и cloaking
Гость
1
комментарий
0
читателей
Полный профиль
Гость - Сейчас клоаку прячут, так что под нее можно глянуть только с гуггловских ip. Сейчас только гуггл сервисами можно глянуть
Как легко определять спрос на продукцию. Проводим мини-исследование, привлекая ChatGPT
Гость
1
комментарий
0
читателей
Полный профиль
Гость - норм статья, надо юзать и не бояться
Число доменов в зоне .ru достигло рекордных показателей с 2017 года
Валерия Власова
3
комментария
0
читателей
Полный профиль
Валерия Власова - Благодарим за внимательность, в зоне .рф зарегистрировано 762 тыс. доменов.
Видеокурс по Telegram Ads: кому подходит реклама в мессенджере
eLama
1
комментарий
0
читателей
Полный профиль
eLama - Елена, добрый день! Нам очень жаль, что у вас сложилось такое впечатление о работе нашего сервиса. Мы бы хотели разобраться в возникшей ситуации. Будем признательны, если вы пришлете ваш ID в eLama нам в личные сообщения ВКонтакте, чтобы мы могли проверить информацию по вашему кабинету: vk.com/elama
ТОП КОММЕНТАТОРОВ
Комментариев
910
Комментариев
834
Комментариев
554
Комментариев
540
Комментариев
483
Комментариев
386
Комментариев
373
Комментариев
262
Комментариев
249
Комментариев
171
Комментариев
156
Комментариев
141
Комментариев
121
Комментариев
120
Комментариев
100
Комментариев
97
Комментариев
97
Комментариев
96
Комментариев
80
Комментариев
77
Комментариев
74
Комментариев
67
Комментариев
64
Комментариев
60
Комментариев
59

Отправьте отзыв!
Отправьте отзыв!