Как взломать сайт

Мы неоднократно писали о том, что количество сайтов, подвергающихся обезличенным (нецелевым) атакам, в разы превышает количество жертв атак целевых. По нашей статистике, только каждый четвертый сайт злоумышленники взламывают целенаправленно, остальные сайты, поступающие к нам на лечение и защиту, — результат массового взлома и заражения.

Пострадать в результате нецелевой атаки довольно просто: для этого достаточно, не заметить или проигнорировать критическую уязвимость в CMS, шаблонах или плагинах своего сайта. Любая незакрытая брешь – отличный шанс очутиться среди себе подобных «товарищей по несчастью» и прочно закрепиться в хакерской выборке кандидатов для взлома. А в случае «успешной» атаки приготовьтесь к тому, что ваш сайт начнут активно использовать для спам-рассылки, заражения пользователей, хостинга фишинговых страниц, атак на другие сайты или заработка на рекламе. 

Найти сайты (их тысячи) со схожими слабыми параметрами для хакера не составляет большого труда.

Информацию об уязвимых сайтах всегда можно пробить по Google Hacking Database (GHD) – базе данных «дорков» — поисковых запросов на мета-языке Google, позволяющих найти сайты, уязвимые к тем или иным атакам по определенным сходными свойствами. Например, хакеры могут найти все проиндексированные в поисковой системе сайты с установленным уязвимым плагином или сайты, которые раскрывают содержимое каталогов, т.е. позволяют просматривать и загружать из них файлы (с паролями, настройками и т.п.)

Если на вашем сайте есть слабое звено и веб-проект уязвим к определенному виду атак, то рано или поздно вас взломают. Это нужно понимать каждому веб-мастеру и владельцу сайта.

Последние, обычно, не верят, что найти и взломать уязвимый сайт можно буквально за пару минут, не имея под рукой никаких специализированных хакерских инструментов. Поэтому в качестве иллюстрации мы приведем простой пример, как, используя возможности Google, злоумышленники находят и взламывают веб-проекты, владельцы которых своевременно не позаботились об их защите или допустили ошибки при настройке хостинга.

В качестве примера рассмотрим “дорк”, который появился в базе Google Hacking Database от 1 сентября 2015 года. Он позволяет найти сайты с открытыми каталогами (в таких каталогах можно не только увидеть листинг служебных файлов, но и просмотреть их содержимое, например, найти пароли).

Отправляем этот запрос в поисковую систему Google и видим список сайтов с открытыми листингами каталогов — это потенциальные жертвы хакера. Выбираем среди найденных сайтов случайный, например, последний в списке.

Кликаем по ссылке — открывается список каталогов, по ним можно «погулять» как в проводнике, и в результате серфинга можно заметить файл serverconfig.xml, который в открытом доступе хранит логины и пароли от базы данных. Учитывая то, что иногда учетные записи совпадают с FTP или SSH, таким образом хакер может получить несанкционированный доступ не только к базе данных, но и всему серверу.

На весь вышеописанный процесс ушло порядка двух минут, у хакера же в «боевых условиях», использующего автоматизированные решения, это занимает еще меньше времени, а счет скомпрометированных ресурсов обычно идет на тысячи.

Обидно оказаться в числе тех, кто превратился в легкую добычу в руках хакера, хотя такой ситуации легко избежать. Думайте о защите своих веб-проектов заранее. Если ваш сайт будет чуть более защищен, чем среднестатистический (с CMS “из коробки” и настройками по-умолчанию), то проблема нецелевого взлома вас обойдет стороной. 

.

Способы взлома сайтов.

Взлом сайтов становиться возможным из-за уязвимостей кода сайта, уязвимостей и ошибках в настройках серверного программного обеспечения, а также из-за некорректной публикацией сайта на сервере.



УЯЗВИМОСТИ КОДА САЙТА

Инъекции:

Наиболее грозным и распространенным способом взлома сайта являются инъекции.
Возможность успешной эксплуатации инъекций на сайте в 99% случаев приводит к его взлому.

Инклуды:

Не менее грозный и распространенный способ взлома сайта — это инклуды.
Возможность успешной эксплуатации любого инклуда на сайте в 100% случаев приведет к его взлому.

Клиентские атаки. Атаки на администраторов и посетителей сайта

Очень популярный способ взлома сайта — это атаки на клиента, в браузере жертвы.
Один из самых практикуемых способов взлома сайта.
Обусловлен тем, что клиентским атакам (к примеру XSS) подвержены более 75% всех сайтов в мире.

  • XSS атака. Сross Site Sсriрting — межсайтовый скриптинг.
  • CSRF атака. Сross Site Request Forgery — подделка межсайтовых запросов.
  • Фишинг атака. Fishing — Фишинг атака — подделка страниц сайта.

Некорректная публикация сайта на сервере.

Ошибки публикации.

Некорректная публикация сайта на сервере является грубейшей ошибкой разработчиков и администраторов ресурса, зачастую приводящая к его взлому.
К таким ошибкам, напрямую влияющих на безопасность сайта являются:

  • Открытые директории с системными файлами.
  • Открытый доступ и возможность выполнения системных файлов, взаимодействующих с файловой системой или базами данных.
  • Системные архивы, бэкапы сайта, находящиеся в открытом доступе.
  • Файлы дампа баз данных в открытом доступе.
  • Открытый доступ к .svn или .git индексным файлам.

Ошибки администрирования сайта:

Нередко администраторы сайта устанавливают короткие и примитивные пароли к админкам, наподобие 123qwerty.
Такие пароли элементарно подбираются злоумышленниками с помощью специальных программ.

Небрежность администраторов сайта, имеющих доступ к FTP и административной панели, нередко приводит к взлому сайта.
Троянская программа отправленная по почте, якобы забытая кем — то, а на самом деле специально оставленная злоумышленником зараженная вирусами флэшка на столе у админа сайта могут привести к его взлому.



УЯЗВИМОСТИ СЕРВЕРА

Уязвимости программного обеспечения сервера несут огромную опасность для размещенных на них сайтах.
Устаревшие версии редакции серверных операционных систем, а также Nginx, Apachе, PHP, MySQL, FTP и прочего ПО несут в себе угрозу безопасности сайта, так как в большинстве случаев они уязвимы к взлому и атакам.
Кроме этого, существуют специальные программные решения, эксплойты, с помощью которых происходят взломы и атаки на сервер.

Неправильная настройка сервера также может открыть «дыру» или лазейку, через которую злоумышленник сможет осуществить взлом.



В этой статье приведены только самые популярные уязвимости, с помощью которых злоумышленники взламывают сайты.
Способов, техник и методов реализации атак и взлома сайтов огромное множество.

Абсолютно все материалы (тексты, фотографии, видео) заносятся на сайт через систему управления контентом. Для простоты и краткости мы называем эту систему админкой.

Чтобы начать редактирование любой страницы, нужно обязательно зайти в управление сайтом. В конструкторе сайтов «Нубекс» предусмотрено два способа входа в администрирование сайта.

Способ № 1. Вход в управление сайтом через главную панель управления услугами

Это способ доступен администратору сайта и является основным. Его преимущество заключается в том, что при входе администратор видит состояние работы сайта, и в случае каких-либо неполадок (сайт выключен или не открывается, не работает доменное имя, некорректные настройки сайта и т. д.) система отразит их причины и позволит администратору предпринять соответствующие меры. Также при использовании такого способа администратор может управлять всеми своими сайтами (если их несколько), используя только один вход.

Как войти в администрирование сайта

Зайдите на главную страницу конструктора сайтов «Нубекс» (http://nubex.ru). Далее в правом верхнем углу найдите ссылку «Войти в систему».


Для входа в систему управления услугами нажмите «Войти в систему»

Вы окажетесь на странице входа главной панели управления услугами. Вот ее прямой адрес: https://panel.nubex.ru/


Вход в главную панель управления услугами и сайтами

В поле «электронная почта» введите адрес вашей почты, который использовался при регистрации или создании сайта.

В поле «пароль» введите ваш пароль. Если Вы не помните свой пароль, то можете воспользоваться ссылкой восстановления пароля.

Если к вашей регистрационной анкете были привязаны профили в социальных сетях Вконтакте или Facebook, Вы можете войти, кликнув на логотип социальной сети.

После входа в панель управления услугами Вы окажетесь на главном экране, на котором увидите список всех Ваших сайтов. Напротив каждого сайта есть кнопка «управлять»: кликнув на нее, Вы перейдете в систему управления сайтом.


Главный экран системы управления услугами

Способ № 2. Вход в систему администрирования сайтом

Этот способ используют для того, чтобы предоставить доступ к управлению сайтом отдельным сотрудникам, которые получают ограниченные права на управление сайтом, но не имеют возможности управлять некоторыми услугами (оплата сайта, финансовая информация, управление доменами и т.д.).

Откройте свой сайт в браузере и найдите его доменное имя в адресной строке. Например, http://nubex.ru.

После адреса сайта поставьте косую черту и напишите слово admin. На нашем примере строка будет выглядеть так: http://nubex.ru/admin.

Перейдите на этот адрес (это можно сделать с помощью кнопки Enter на клавиатуре).

У Вас откроется страница входа в админку.

Здесь Вам нужно будет ввести свой логин и пароль (и то, и другое вводится латинскими буквами).

Затем нажмите кнопку «Войти».

Таким образом Вы окажетесь внутри админки и сможете редактировать страницы сайта.

10 лучших способов защитить свой сайт от взлома.

Компьютерные воры всё чаще и чаще стараются получить доступ к недоступной для них информации, которая находится на компьютере или на определённом сайте. В основном им нужны какие-либо данные кредитных карт или другая конфиденциальная информация. С каждым разом они действуют всё более изощрённо и хитрее. Чтобы эффективно защититься от них, необходимо знать их основные методы взлома и получение важной информации.

Вот 10 основных приёмов, которыми они чаще всего пользуются, а также меры предосторожности и защиты:

1. Взлом платформы сайта, на котором размещается информация. Чтобы максимально обезопасить себя от этого, размещайте информацию на сайтах, на которых сложный язык программирования, а сервер не имеет выход из внутренней сети. Если имеется дополнительная аутентификация пользователей, то это будет для вас дополнительным плюсом к защите.

2. Взлом пароля. Источником завладения пароля может послужить запущенный хакерами скрипт, который будет считывать всю информацию вводимую на клавиатуре и передавать её злоумышленникам. Защита есть!

Чем сложнее пароль, тем тяжелее скрипту распознать его. Если пароль состоит из верхнего и нижнего регистра, символов и цифр, то компьютерным ворам будет тяжелее завладеть вашей информацией.

3. Слабая защита компьютера. Из-за отсутствия антивируса, пиратской операционной системы и из-за неустановленных обновлений, ваши секретные материалы могут быть похищены. Чтобы обезопасить себя, нужно настроить защиту, пользоваться брандмауэром и устанавливать необходимые обновления с официального сайта поставщика.

4. Отсутствие регулярного сканирования. Такая халатность может привести к тому, что вы можете лишиться всего, в один миг. Для сохранения информации, хранящейся на сайте, советуется проводить ежеквартальное сканирование PCI через сервис Trustwave.

5. Отсутствие патчей на систему. Невыполнения этого действия, зачастую, приводит к блокировке каких-либо данных. Злоумышленникам легче похитить информацию, если у вас не имеется последней версии патча. Им достаточно нажать одну кнопку, и вирус проникнет в центр обеспечения и лишит вас доступа к вашим же документам.

6. Брут – ещё одна уловка воров. Брут похож на взлом пароля, но он происходит по иной схеме. Если взлом пароля происходит по считыванию информации, то брут – это взлом пароля с помощью метода подбора. Конечно, у вас может быть сложный пароль и состоять из цифр, но если в пароле указывается своё имя и год рождения, то для хакеров это будет просто подарком. Также этим методом вычисляется похожий пароль на других сервисах, поэтому не используйте один и тот же пароль на разных сайтах и чаще меняйте пароль. Это касается и паролей от FTP, пользователей баз данных и учетных записей на сайте.

7. Ещё один проверенный способ защиты – это защита с помощью файлов .htaccess. Эти файлы помогают настраивать и улучшать безопасность сайта. Благодаря им можно установить множество дополнительных конфигураций, которые помогут выстроить систему защиты от взлома. Также, благодаря файлу .htaccess редактирование параметров системы будет для вас более безопасным, потому что это происходит без затрагивания основного конфигурационного файла, а значит, сбой системы из-за удаления системного файла почти исключён.

8. Протокол SSL – ещё один незаменимый помощник в охране сайта. Благодаря ему устанавливается безопасное соединение между сервером и браузером пользователя. Информация передаётся в закодированном виде по HTTPS. Взломать сайт становится намного сложнее, потому что расшифровать кодировку может только специальный ключ, который хакерам приносит множество трудностей и усложняет задачу.

9. Взлом без применения технических средств. Этим методом пользуются редко, но он действует. Для получения пароля, злоумышленники представляются работниками технической поддержки или администраторами и просят пароль. Вы называете его и навсегда прощаетесь с вашими документами. Мера защиты для этого способа одна: будьте внимательны, кому вы называете свою информацию для входа в аккаунт.

10. Модерация и администрирование сайта остаются лучшим способом защиты сайта от взлома. Модерация включает в себя постоянный контроль всех «узлов» сайта, ежедневная «чистка» сайта от спама и оперативное обеспечение любых технических изменений сайта. Под администрированием подразумевается подсчёт статистики и слежка за изменением контента.

Если у вас сайт работает на CMS WordPress, обратите внимание на статью «Как защитить свой сайт или блог под управлением CMS WordPress от взлома: практические советы».

Добавить комментарий

Закрыть меню