Как хакеры пытались украсть мой сайт? Не выдуманная история одного блоггера

Привет все читателям моего блога.  Давно у меня не было гостевых постов, а все почему? Потому что эксклюзивным материалом мало кто обладает, а с простыми темами я ни кого на блог не пускаю. Написать как уникализировать изображение или заработать на опросах я и сам могу. Так вот у меня сегодня в гостях Дмитрий Казанцев, автор блога osxit.ru. Недавно с ним, а точнее с его сайтом произошла удивительная история. Все подробности о ней я опущу, а он продолжит.

Всем привет! Сегодня я расскажу об очень интересном случае, но в начале я хочу внести лирическое вступление и немного порассуждать на тему безопасности сайтов и почему важна проверка сайта на вирусы, благо сейчас полно online сервисов, потому что этой темой я пренебрегал полностью и в итоге чуть не лишился своего детища.

Дело в том, что многие блогеры и веб-мастера не думают о защите своих сайтов, пренебрегают установкой плагинов для защиты и отслеживания ip адресов посетителей которые покушались на вход в панель администратора. Это очень важный момент в успехе того или иного проекта так как он увеличивает шанс того, что ваш сайт не пострадает от неблагоприятных действий хакеров.

Даже если ресурс еще только начал развиваться, и вы думаете: «Да кому он нужен, взламывать его! Потом поставлю защиту, когда будет доход!» – Это не правильно!  В будущем большинство об этом просто забывает и когда блог становится популярным, на нем есть много контента, вы обнаруживаете что, он заражен вирусом. Или вообще украден и на нем активно продают ссылки на бирже взломанных сайтов trastik.com. Вам будет очень сложно в одиночку исправить ситуацию, поверьте моему опыту, далее вы поймете, о чем я говорю.

Важные рекомендации при создании блога

В первую очередь после создания проекта, прежде чем наполнять его контентом, очень серьезно подойдите к вопросу технической части, установка плагинов, общие настройки, защитите блог различными фишками через .htaccess – в интернете полно информации об этом.

Из всего выше сказанного я составил список важных моментов настройки технической части и защиты:

1. Придумывайте сложные пароли для ваших аккаунтов на хостинг, домен, и на вход в админку – используйте цифры, символы, верхний и нижний регистр в паролях;
2. Измените префикс таблицы баз данных при установке например WordPress, стандартно идет “WP_” рекомендую его изменить на любой другой. Взломы этим способом редки, но все же стоит это сделать.
3. Устанавливайте плагины защиты только из консоли или с сайта WordPress, ни в коем случае не используйте плагины скаченные со сторонних сайтов, они могут быть нарочно заражены или с определенными «Дырами».
4. Настройте файл .htaccess
5. После выбора и установки шаблона на сайт проверьте его на наличие внешних ссылок, я писал об этом у себя на блоге здесь. Не всегда бесплатные шаблоны из паблика чистые, в них часто встречаются скрытые внешние ссылки, что помешает в будущем развитию сайта.
6. Обязательно зарегистрируйте сайт в Google и Яндекс вебмастер – вам это поможет отслеживать различные проблемы, которые будут возникать по мере развития.
7. Рекомендую установить расширение для браузера WebMoney Advisor – Он показывает репутацию сайта в платежной системе WebMoney и исходя из результатов можно понять, стоит ли иметь дело с тем или иным сервисом.

Это все рекомендации на которые я хотел бы обратить ваше внимание. По сути на эти действия вы потратите 1 вечер, зато в результате можете не переживать что ваш кровью написанный контент не пропадет (хорошо сказал да?). Даже, если вы все заказываете на статейных биржах или у фрилансеров, все равно это потеря из-за того что на начальных этапах вы не уделили немного времени технической части.

Из личного опыта: украли сайт

Перейдем к сути, около двух недель назад один из моих сайтов подвергся нападению хакеров – будем называть так этих уродов! Дело в том, что его полностью украли и разместили на другом домене и хостинге. Сделано это было через какую-то «дыру» в движке (WordPress), возможно и через шаблон или плагин, я не знаю.

Самое интересное заключалось в том, что когда вносил изменения или добавлял контент, то все тоже, самое происходило автоматически на сайте злоумышлиника.

Как я это обнаружил?

Все просто, зашел как обычно в свой аккаунт Google Adsense > Отчеты > Сайты и увидел в графике расчетных доходов лишний домен, перешел по нему и обалдел!

Видимо он отобразился в аккаунте потому что сайт украли вместе с рекламными блоками размещенными в шаблоне.

С паразитом надо было что-то делать пока он не начал индексироваться, это очень плохо повлияло бы на позиции, трафик бы просел  в общем приятного мало.

Далее я позвонил по горячей линии в техподдержку хостинга, где размещен мой сайт (Beget – считаю, что он один из лучших), оператор молодец, заинтересовался моей проблемой, у них больше видно событий происходящих на сервере. Определили, что действительно кто-то ломится на сайт, нашлось 269 ip адресов… Он даже сам попытался заблокировать их через .htaccess, но ничего не вышло потому что, слишком много ip адресов и каждый блокировать и проверять закрылась ли дыра на сайте очень долго. Он мне любезно предоставил список ip адресов в текстовом документе и объяснил, как и что делать, я посидел один вечер, но ничего снова не вышло. Как потом оказалось, я не правильно понял советы консультанта.

Еще он мне, что можно обратиться в полицию с заявлением, но этот вариант я сразу откинул, потому что в нашем небольшом городке с таким заявлением меня бы послали куда подальше, или закрыли в психушку J

Далее начал действовать, полагаясь на свои знания и методом тыка (Google мне в ребло!), пробил домен через WHOIS, в надежде узнать на каком хостинге размещен сайт.

И что я увидел? Как может быть DNS Яндекса? Первая мысль сразу была, что сайт размещен на бесплатном хостинге Яндекс-Народ, но потом я вспомнил, что его домен «народ» выкупил ucoz и его больше нет. Кстати свой путь в интернет-бизнес я начинал с создания сайтов как раз на конструкторе ucoz, славно было время, жаль, что мои первые попытки оказались провальными. Славное было время…. Стоп!!! Я немного отвлекся.

Так вот я все равно написал в техподдержку Яндекса через инструмент Вебмастера.

Я был немного в панике и долго не раздумывал над текстом письма, написал вкратце по делу все как есть, вместе с данными из WHOIS о домене. Вот письмо:

На что мне ответили, что сайт не располагается у них на серверах, а только пользуется услугой делегирования домена на Яндекс, и владелец самостоятельно несет ответственность. Если сайт нарушает законодательство то следует обратиться к провайдеру определив ip адрес сервера по домену через сервис ip lookup на одном из сервисов WhoIS.

В общем по их словам, они тут не причем, грамотно от мазались, что бы не заморачиваться (Платон в своем репертуаре), естественно прикрепили ссылки на все соглашения с кучей пунктов, я их читать не стал, спорить думаю бесполезно, нужно думать, что делать дальше.

Нашел этот пункт в сервисе WHOIS и определил я ip адрес сервера, оказалось сервер расположен в Германии, далее написал  им на email на Русском языке. Знал, что вряд ли я получу ответ на свое сообщение. Может быть, конечно, стоило попробовать написать на немецком, но подумал, что если хоть что-то ответят, тогда сделаю, прошло 2 недели, а ответа так и не было…  Я не унывал и начал действовать дальше.

Что я только не делал. Пробовал ставить все возможные для защиты сайта плагины, проверял сайт онлайн антивирусами, но все оказалось бесполезным, длилось это около недели, я уже почти опустил руки. Подумал, что он не индексируется, значит и вреда не будет.

Вначале я написал рекомендации не просто так, вся эта беда случилась из-за того  что год назад ничего этого не было сделано. Я создал сайт, купил шаблон, и начал наполнять его контентом, заказывать тексты, продвигать…

Спустя 2 дня я снова решил заняться данной проблемой и вспомнил того оператора из Beget. Решил сам попробовать заблокировать ip адрес этого сервера через .htaccess, теперь я его уже знал.

Проблема в том что мне был известен только 1 ip адрес, но ведь он может меняться в диапазоне данного хостинга, и нужно блокировать весь диапазон, ввести в .htaccess все ip адреса просто нереально их очень много! Например, диапазон с 192.168.0.0 по 192.168.255.255 – Представьте сколько это ip адресов? Начал гуглить дальше, оказывается можно обозначить диапазон определенным способом и займет это всего 1 строчку воспользовавшись онлайн калькулятором диапазонов.

Вот как я считал диапазон, через онлайн колькулятор:

1. Узнал ip адрес сервера, через сервис whois – тут начальный ip диапазона и конечный;
2. Захошелм на сайт онлайн калькулятора диапазонов ip – ip2cidr.com и ввел все значения как на скриншоте;
3. Далее открыл файл .htaccess и вписал в самом вверху следующее;
4. order deny,allow deny from  значение из онлайн калькулятора.
5. Сохраняемся и проверяем. После этих действий хакерский сайт стал выдавать ошибку  403 Forbidden You don’t have permission to access / on this server.

Из этого следует, что сайт был не сворован, а каким-то образом транслировался, для меня это загадка, если вы что-то знаете или встречались с данной проблемой отпишитесь, пожалуйста, в комментариях.

Лично мне этого хватило, сайт исчез, а значит его не проиндексируют поисковики и мне это никак не навредит. Кстати и из панели AdSense он тоже исчез, теперь там только действующие сайты! Ура! Для страховки и чтобы впредь такого не случилось я естественно хорошо настроил все плагины для защиты от взлома от вирусов и тщательно слежу за всеми действиями в отношении моей консоли.

И ещё я нашел с десяток подобных атак, владельцы сайтов просто в панике, думаю это руководство им пригодиться.

Спасибо за внимание!

С уважением, Дмитрий Казанцев!

В заключение я хочу сказать, что для защиты своего блога использую плагин “Login LockDown”, который после трех неверных попыток входа в админку блокирует ее на 12 часов. Таким образом, я вижу, что каждый день по 3-4 человека пытаются подобрать пароль, я не знаю, роботы это или люди, но факт остаётся фактом.

К примеру, сейчас 10 часов утра, а ко мне уже кто-то пытался заглянуть на огонек:

На этом у меня все друзья! Подписывайтесь на обновления блога, впереди вас ждет ещё много интересного.

Я напоминаю вам, что мы оказываем услуги по обнаружению и удалению вирусов с вашего сайта. Услуга не дорогая и я рекомендую доверить это профессионалам. Не теряйте времени на самостоятельное излечение своего сайта. Пишите мне на jony20@nxt.ru или ВК: https://vk.com/jonyit