Как хакеры пытались украсть мой сайт? Не выдуманная история одного блоггера
Привет все читателям моего блога. Давно у меня не было гостевых постов, а все почему? Потому что эксклюзивным материалом мало кто обладает, а с простыми темами я ни кого на блог не пускаю. Написать как уникализировать изображение или заработать на опросах я и сам могу. Так вот у меня сегодня в гостях Дмитрий Казанцев, автор блога osxit.ru. Недавно с ним, а точнее с его сайтом произошла удивительная история. Все подробности о ней я опущу, а он продолжит.
Всем привет! Сегодня я расскажу об очень интересном случае, но в начале я хочу внести лирическое вступление и немного порассуждать на тему безопасности сайтов и почему важна проверка сайта на вирусы, благо сейчас полно online сервисов, потому что этой темой я пренебрегал полностью и в итоге чуть не лишился своего детища.
Дело в том, что многие блогеры и веб-мастера не думают о защите своих сайтов, пренебрегают установкой плагинов для защиты и отслеживания ip адресов посетителей которые покушались на вход в панель администратора. Это очень важный момент в успехе того или иного проекта так как он увеличивает шанс того, что ваш сайт не пострадает от неблагоприятных действий хакеров.
Даже если ресурс еще только начал развиваться, и вы думаете: «Да кому он нужен, взламывать его! Потом поставлю защиту, когда будет доход!» – Это не правильно! В будущем большинство об этом просто забывает и когда блог становится популярным, на нем есть много контента, вы обнаруживаете что, он заражен вирусом. Или вообще украден и на нем активно продают ссылки на бирже взломанных сайтов trastik.com. Вам будет очень сложно в одиночку исправить ситуацию, поверьте моему опыту, далее вы поймете, о чем я говорю.
Важные рекомендации при создании блога
В первую очередь после создания проекта, прежде чем наполнять его контентом, очень серьезно подойдите к вопросу технической части, установка плагинов, общие настройки, защитите блог различными фишками через .htaccess – в интернете полно информации об этом.
Из всего выше сказанного я составил список важных моментов настройки технической части и защиты:
- Придумывайте сложные пароли для ваших аккаунтов на хостинг, домен, и на вход в админку – используйте цифры, символы, верхний и нижний регистр в паролях;
- Измените префикс таблицы баз данных при установке например WordPress, стандартно идет “WP_” рекомендую его изменить на любой другой. Взломы этим способом редки, но все же стоит это сделать.
- Устанавливайте плагины защиты только из консоли или с сайта WordPress, ни в коем случае не используйте плагины скаченные со сторонних сайтов, они могут быть нарочно заражены или с определенными «Дырами».
- Настройте файл .htaccess
- После выбора и установки шаблона на сайт проверьте его на наличие внешних ссылок, я писал об этом у себя на блоге здесь. Не всегда бесплатные шаблоны из паблика чистые, в них часто встречаются скрытые внешние ссылки, что помешает в будущем развитию сайта.
- Обязательно зарегистрируйте сайт в Google и Яндекс вебмастер – вам это поможет отслеживать различные проблемы, которые будут возникать по мере развития.
- Рекомендую установить расширение для браузера WebMoney Advisor – Он показывает репутацию сайта в платежной системе WebMoney и исходя из результатов можно понять, стоит ли иметь дело с тем или иным сервисом.
Это все рекомендации на которые я хотел бы обратить ваше внимание. По сути на эти действия вы потратите 1 вечер, зато в результате можете не переживать что ваш кровью написанный контент не пропадет (хорошо сказал да?). Даже, если вы все заказываете на статейных биржах или у фрилансеров, все равно это потеря из-за того что на начальных этапах вы не уделили немного времени технической части.
Из личного опыта: украли сайт
Перейдем к сути, около двух недель назад один из моих сайтов подвергся нападению хакеров – будем называть так этих уродов! Дело в том, что его полностью украли и разместили на другом домене и хостинге. Сделано это было через какую-то «дыру» в движке (WordPress), возможно и через шаблон или плагин, я не знаю.
Самое интересное заключалось в том, что когда вносил изменения или добавлял контент, то все тоже, самое происходило автоматически на сайте злоумышлиника.
Как я это обнаружил?
Все просто, зашел как обычно в свой аккаунт Google Adsense > Отчеты > Сайты и увидел в графике расчетных доходов лишний домен, перешел по нему и обалдел!
Видимо он отобразился в аккаунте потому что сайт украли вместе с рекламными блоками размещенными в шаблоне.
С паразитом надо было что-то делать пока он не начал индексироваться, это очень плохо повлияло бы на позиции, трафик бы просел в общем приятного мало.
Далее я позвонил по горячей линии в техподдержку хостинга, где размещен мой сайт (Beget – считаю, что он один из лучших), оператор молодец, заинтересовался моей проблемой, у них больше видно событий происходящих на сервере. Определили, что действительно кто-то ломится на сайт, нашлось 269 ip адресов… Он даже сам попытался заблокировать их через .htaccess, но ничего не вышло потому что, слишком много ip адресов и каждый блокировать и проверять закрылась ли дыра на сайте очень долго. Он мне любезно предоставил список ip адресов в текстовом документе и объяснил, как и что делать, я посидел один вечер, но ничего снова не вышло. Как потом оказалось, я не правильно понял советы консультанта.
Еще он мне, что можно обратиться в полицию с заявлением, но этот вариант я сразу откинул, потому что в нашем небольшом городке с таким заявлением меня бы послали куда подальше, или закрыли в психушку J
Далее начал действовать, полагаясь на свои знания и методом тыка (Google мне в ребло!), пробил домен через WHOIS, в надежде узнать на каком хостинге размещен сайт.
И что я увидел? Как может быть DNS Яндекса? Первая мысль сразу была, что сайт размещен на бесплатном хостинге Яндекс-Народ, но потом я вспомнил, что его домен «народ» выкупил ucoz и его больше нет. Кстати свой путь в интернет-бизнес я начинал с создания сайтов как раз на конструкторе ucoz, славно было время, жаль, что мои первые попытки оказались провальными. Славное было время…. Стоп!!! Я немного отвлекся.
Так вот я все равно написал в техподдержку Яндекса через инструмент Вебмастера.
Я был немного в панике и долго не раздумывал над текстом письма, написал вкратце по делу все как есть, вместе с данными из WHOIS о домене. Вот письмо:
На что мне ответили, что сайт не располагается у них на серверах, а только пользуется услугой делегирования домена на Яндекс, и владелец самостоятельно несет ответственность. Если сайт нарушает законодательство то следует обратиться к провайдеру определив ip адрес сервера по домену через сервис ip lookup на одном из сервисов WhoIS.
В общем по их словам, они тут не причем, грамотно от мазались, что бы не заморачиваться (Платон в своем репертуаре), естественно прикрепили ссылки на все соглашения с кучей пунктов, я их читать не стал, спорить думаю бесполезно, нужно думать, что делать дальше.
Нашел этот пункт в сервисе WHOIS и определил я ip адрес сервера, оказалось сервер расположен в Германии, далее написал им на email на Русском языке. Знал, что вряд ли я получу ответ на свое сообщение. Может быть, конечно, стоило попробовать написать на немецком, но подумал, что если хоть что-то ответят, тогда сделаю, прошло 2 недели, а ответа так и не было… Я не унывал и начал действовать дальше.
Что я только не делал. Пробовал ставить все возможные для защиты сайта плагины, проверял сайт онлайн антивирусами, но все оказалось бесполезным, длилось это около недели, я уже почти опустил руки. Подумал, что он не индексируется, значит и вреда не будет.
Вначале я написал рекомендации не просто так, вся эта беда случилась из-за того что год назад ничего этого не было сделано. Я создал сайт, купил шаблон, и начал наполнять его контентом, заказывать тексты, продвигать…
Спустя 2 дня я снова решил заняться данной проблемой и вспомнил того оператора из Beget. Решил сам попробовать заблокировать ip адрес этого сервера через .htaccess, теперь я его уже знал.
Проблема в том что мне был известен только 1 ip адрес, но ведь он может меняться в диапазоне данного хостинга, и нужно блокировать весь диапазон, ввести в .htaccess все ip адреса просто нереально их очень много! Например, диапазон с 192.168.0.0 по 192.168.255.255 – Представьте сколько это ip адресов? Начал гуглить дальше, оказывается можно обозначить диапазон определенным способом и займет это всего 1 строчку воспользовавшись онлайн калькулятором диапазонов.
Вот как я считал диапазон, через онлайн колькулятор:
- Узнал ip адрес сервера, через сервис whois – тут начальный ip диапазона и конечный;
- Захошелм на сайт онлайн калькулятора диапазонов ip – ip2cidr.com и ввел все значения как на скриншоте;
- Далее открыл файл .htaccess и вписал в самом вверху следующее;
- order deny,allow deny from значение из онлайн калькулятора.
- Сохраняемся и проверяем. После этих действий хакерский сайт стал выдавать ошибку 403 Forbidden You don’t have permission to access / on this server.
Из этого следует, что сайт был не сворован, а каким-то образом транслировался, для меня это загадка, если вы что-то знаете или встречались с данной проблемой отпишитесь, пожалуйста, в комментариях.
Лично мне этого хватило, сайт исчез, а значит его не проиндексируют поисковики и мне это никак не навредит. Кстати и из панели AdSense он тоже исчез, теперь там только действующие сайты! Ура! Для страховки и чтобы впредь такого не случилось я естественно хорошо настроил все плагины для защиты от взлома от вирусов и тщательно слежу за всеми действиями в отношении моей консоли.
И ещё я нашел с десяток подобных атак, владельцы сайтов просто в панике, думаю это руководство им пригодиться.
Спасибо за внимание!
С уважением, Дмитрий Казанцев!
В заключение я хочу сказать, что для защиты своего блога использую плагин “Login LockDown”, который после трех неверных попыток входа в админку блокирует ее на 12 часов. Таким образом, я вижу, что каждый день по 3-4 человека пытаются подобрать пароль, я не знаю, роботы это или люди, но факт остаётся фактом.
К примеру, сейчас 10 часов утра, а ко мне уже кто-то пытался заглянуть на огонек:
На этом у меня все друзья! Подписывайтесь на обновления блога, впереди вас ждет ещё много интересного.
Я напоминаю вам, что мы оказываем услуги по обнаружению и удалению вирусов с вашего сайта. Услуга не дорогая и я рекомендую доверить это профессионалам. Не теряйте времени на самостоятельное излечение своего сайта. Пишите мне на jony20@nxt.ru или ВК: https://vk.com/jonyit
В бы в такой ситуации наверное бы запаниковал и бросил сайт
Да, осторожным надо быть, тоже свои блоги проверить.
У меня вопрос, а как в плагине Login Lock Down глянуть кто и когда пытался блог взломать?
У меня были dos-атаки уже на блог.
Не знаю как воровали контент именно на вашем блоге.
Но когда то читал книгу, как зарабатывать на сайтах на англоязычных сайтах.
Спец. создают, быстро наполняют, потом быстро продают.
Ничего взламывать не нужно, и т.п
Ставится спец. плагин ( названия не запомнил) указываете с какого сайта брать инфу, и он публикует статьи.
Берет их с ленты RSS.
Можно наполнять сайт контентом из конкретного сайта, а можно указывать плагину какие статьи нужны.
Один раз в сети я даже видел копию одной своей статьи, с картинками, ссылками и т.п
Там было – здравствуйте девочки и мальчики. Я робот Отик и т.д…
Если бы эту статью копировал человек, хотя бы эти строки убрали.
Здравствуйте.
У вас всего навсего было клонирование сайта узнали dns и подвесели ваш хост домен на тот же IP что и Yandex потом прописывается что у него есть алиас.
В итоге 2 домена смотрят на один и тот же сайт. Было такое но это вродиб ток на комерческих бывает такая бяка.
Это не хакеры а мудаки какие-то
робот Отик, я думал о варианте парсинга RSS ленты, но дело в том что лента обновляется при публикации статей, а там в реальном времени все изменялось, я в статью добавляю букву у себя на сайте, и на том сайте она тоже появляется…
У Саши Бобрина была похожая история. Он писал подробно, как заблокировал клона.
я бы добавил немного к пункту 1 Важных рекомендаций при создании блога , то что открывая новый сайт на WordPress многие совершают одну и ту же ошибку, которую допустил и я, оставляют предложенный шаблоном WordPress, логин admin.
А у меня каждый год и что интересно в одно время и месяц бывают вот такие проблемы, когда воруют блог, или пытаются вести атаку. В прошлом году случайно тоже нарвалась на два таких сайта – на один видимо через rss публикации шли автоматом, на втором – выборочно темы.
Я считаю мне повезло еще потому, что обратясь к хостеру того сайта, его сразу же отключили,на втором – тоже отключили,так как админ молчал на запросы (мои и тех.поддержки хостинга).
В прошлом году также в начале апреля велать атака на мой блог. Хостера отключали частенько. В итоге блог очень сильно упал в выдаче. Много страниц перестало индексироваться. Писала платону, он постоянно успокаивал, писал что со временем начнет индексироваться сайт. Но времени на всё ушло месяца два. А это как знаете потеря трафика (с 1500 до 250), и доход упал.
В этом году тоже приключилось, но уже с другим сайтом: приобрела на бирже каталог статей на мед. тему. Шаблон даже подарили. И недавно обнаружила клон этого сайта. И главное, что обновление статей заканчивается в тот самый момент, когда была совершена продажа. Писала хостерам, админу того сайта – но все молчат. Я сейчас уже думаю бросать этот сайт.
Прочтя статью, меня заинтересовал один момент, что через аналитику оказывается можно обнаружить такие вот сайты-клоны. Незнала. Антон может напишите еще статью и поделитесь знаниями – как проверить сайт на такие вот ссылки сайтов клонов.
У меня тоже сайт постоянно атакуют. Какие-то гады. Пытаюсь его защитить, правда я не такая подкованная в технических вопросах. Иногда хочется все бросить.
Полезная статья. Еще нужно у Саши Бобрина почитать, что он советует.
Николай, заходите в плагин и в настройках в самом низу он показывает ip адреса пытавшихся зайти, если там пусто, значит попыток не было.
werimaster, этот вариант вполне вероятный, но в чем тогда выгода хакеров?
Олег, да я помню, но у него совсем простая ситуация была.
Михаил, что паблик шаблон, что предложенный – это одно и тоже. В лучшем случае нужно купить шаблон.
Нина, а почему вы хостинг не сменили, если сайт постоянно падал? С 1500 на 250 это катастрофа. Минимум 6 месяцев работы потеряно.
А что за биржа такая, где можно купить каталог статей?
Статью бы написал, но пока у меня нет столько информации, чтобы хватило на целую статью так в общих чертах что-то сказать могу, хотя идея хороша, есть у меня знакомый безопасности, нужно с ним переговорить.
Irina, по больше бы информации об атаках, возможно у вас не атаки, а маленький лимит доступной оперативной памяти на хостинге.
На тельдери Антон я покупала… когда я обнаружила этот клон, конечно первой мыслью было – что это перекупка, меня наверно обманули. Поэтому снова пошла на тот сайт, обратилась в администрацию этой биржи. Но виновников в итоге так и ненашли, у продавца довольно хорошая репутация, потому мне и сказали, что сайт видимо сразу скопировали.
А поводу моего личного блога, да, согласна, что это для меня и была “катастрофа”, тем более до этого падения у меня только с яндекса шло 70% трафика,индексировался вообще отлично (практически сразу после публикации каждой статьи),3% – гугл, а остальное соц. сети и закладки. А яндекс видимо не любит “пустую страницу”. Поэтому робот наверно зашел несколько раз, ничего не найдя, вот и выкинул с выдачи.
Что касается хостинга, я столько раз уже меняла их, и поняла, что нет совершенно идеального, поэтому и осталась на нем, прикупив персональный сервер и повысив тариф.
Антон! Я не специалист в этом деле. Мне это сказал спец, который изучал,почему у меня нагрузка на хостинг временами зашкаливает. Он разбирался в логах и сказал что идет атака на сайт. Он перекрыл некоторые IP.
Что-то сделал и сейчас вроде бы нормально. Будем надеяться, что будет все ОК. Хотя я уже так замаялась со своим сайтом, что не знаю… на долго ли меня хватит.
Нина, Мда… Недобросовестных веб-мастеров хватает, но я не могу понять… Ну скопировали они сайт, но страницы же были уже в индексе вашего нового сайта, а их клон нет. Так получается? Тогда никакого вреда вы не получите.
Если сайт не доступен постоянно, то естественно постепенно страницы вылетят из индекса.
Я тоже перепробовал кучу хостингов, даже хваленный блоггерами mchost оказался полным Ггг… Пока на hostenko полет нормальный.
Irin, скорее всего плагины перегружают хостинг или как я уже говорил мало оперативной памяти у вас выделено на тарифе, поэтому сайт падает. Атаку на сайт нужно заслужить и иметь посещаемость для начала 3000-5000 уников в сутки.
Антон, спасибо, увидел.
У меня пока не было попыток блокировки за 2 дня.
На два моих блога тоже постоянные атаки, нагрузка на сервер сильно возросла. Настройки .htaccess не помогли, создал и настроил .htpasswd, однако атаки не прекратились. Выходом из ситуации было установка New Adman
Николай, с развитием блога будут=)
Компьютерная помощь, что такое New Adman?
“В заключение я хочу сказать, что для защиты своего блога использую плагин ”Login LockDown”, который после трех неверных попыток входа в админку блокирует ее на 12 часов.”
По-моему, удобнее закрыть доступ в админку всем, а разрешить только себе, как-то так:
Order Allow,Deny
Allow from 127.0.0.1
Allow from
Login LockDown – этого для защиты не достаточно… Брутфорс атаку с одного IP остановит, а вот всё тот же брутфорс но с разных (зомби) IP – уже нет.
Для проникновения (взлома) используются разные методы, подбор пароля к админке блога примитивен, поэтому легко можно защититься, конечно если знаешь как это сделать именно с умом
Атаки иного характера:
XSS – атаки (выявление уязвимостей и кража данных),
DoS – атаки(отказ в обслуживании — Denial of Service),
SQL инъекции (нападение на базу данных),
Directory traversal и NULL byte – атаки,
и другие…
Как защититься от них!?
Ответ: применить комплексное защитное средство от разных видов угроз. Название не буду говорить – секрет Знайте, что такое есть – ищите!
Любую защиту можно обойти. При защите своего сайта главное по максимально урезать права на папки и скрипты на своем сервере. Даже если дыра будет найдена и шелл залит, то практически ни черта 90% хакеров сделать не сможет.
Главня защита это Бэкап! [:–_)]