как оперативно узнать что ваш сайт подвергся взлому и на него залили дорвей

 Публичный пост
2 ноября 2021  158

в рамках повторного использования контента и для тех кто терпеть не может ютубы

сегодня поговорим про вещи, которые гораздо ближе усредненному вебмастеру, а именно про взломы сайтов с последующим размещением на них всякой гадости (обычно доры и/или ссылки) и как с этим оперативно бороться.

реакция усредненного вебмастера, который видит дор у себя на сайте

обычно, вебмастера узнают о совершенном взломе спустя значительное время. например когда в панелях вебмастера гугла/яндекса появляются санкции/уведомления. и им приходится бороться с уже максимально негативными последствиями взлома.

я попытаюсь рассказать, как можно обнаружить взлом на самых ранних стадиях. а соответственно иметь возможность устранить его последствия до наступления возможных санкций со стороны поисковых систем.

вот некоторые "симптомы", позволяющие определить что сайт подвергся взлому

по индексации в поисковых системах

аномальные всплески новых страниц в консоли яндекса/гугла, могут говорить о том, что кто-то разместил на вашем сайте свои 100500 страниц дорвея.


увидели рост индекса, проверьте эти новые страницы.
это будет хорошо работать для небольших сайтов. где условно 100 своих страниц и появления новых 1000, 5000, 100000 страниц будут прекрасно видны.
для проектов с большим количеством страниц, где флуктуации индекса +- 10000 страниц обычное явление, такой способ не поможет.

из минусов этого способа, данные в панелях вебмастера имеют некоторый временной лаг. поэтому вы узнаете о взломе уже когда страницы залитого вам дора начали индексироваться и возможно уже вредить вашему сайту.

по структуре сайта


если у вас на сайте все страницы без вложенности, а вы в панели вебмастера обнаруживаете например директорию img, в которой находятся 100500 страниц
или же кроме категории news, которую вы создавали, появилась еще и категория newss или new (или другие названия, маскирующиеся под имеющуюся у вас структуру)
весьма вероятно, что это дело рук взломщика, пытающегося мимикрировать под структуру вашего сайта.

минусы как и предыдущем пункте, данные вы получаете с задержкой.

всплеск посещаемости


в зависимости от технических решений, которые использовал взломщик при размещении дорвея на вашем сайте, ваши счетчики могут фиксировать визиты на дорвейные страницы.
поэтому при внезапном росте посещамости, стоит не только радоваться этому факту, но и проверять на какие страницы идет этот трафик. по каким запросам.

из минусов, все тот же временной лаг.

уведомления в выдаче поисковой системы или в панели вебмастера


мониторя выдачу по ключевым словам, где ваш сайт имеет хорошую видимость, вы можете обнаружить уведомления, что сайт взломан

но уведомление появляется не всегда и опять же временной фактор

уведомления от браузера


следует иногда проверять как открывается ваш сайт в разных браузерах (на основе хрома, мозилы, возможно какая-то экзотика которая у вас приносит значимую долю трафика)

из минусов, как временной лаг, так и то что подобное уведомление вероятней всего появится только если дорвей пытается распространять вирусы, занимается фишингом и т.п. в случаях с "белой" монетизацией дорвея, вероятность появления подобного уведомления крайне мала

падение трафика

имеют сильную связь с предыдущим пунктом.
если ваш сайт в выдаче получил метки, то вы ощутите просадку по трафику.
и необходимо смотреть как выглядит ваш сайт в выдаче. возможно вы увидите картину как выше.

редирект /подмена контента при переходе из поиска


периодически следует проверять как выглядит ваш сайт, если перейти на него из поиска (опционально с мобильного интернета и/или смартфона)
возможно вас будет ожидать картина выше, вместо вашего привычного сайта.

из минусов, вы можете не подпадать под критерии, по которым работает клоакинг и для вас сайт будет открываться в нормальном режиме

если вы попали во все пункты, то побуду немного капитаном очевидность

рассмотрев симптоматику и заметив (я надеюсь), что вся она имеет временной лаг и последствия для сайта, у вас встанет вопрос, а как обнаружить вторжения на ранней стадии

контроль появления новых файлов


например при помощи крайне простого скрипта, проверять появились ли в директории с вашим сайтом новые файлы.
если вы не проводили работы с сайтом, то появления новых файлов с большей долей вероятности не санкционировано вами и следует проверить что это за файлы

из минусов, в таком виде не применимо для большинства шаред хостингов (хотя некоторые позволяют работу в консоли). не все виды вторжения ведут к появлению новых файлов. злоумышленник может маскировать новые файлы, изменяя им атрибуты, по которым система определяет когда файлы были созданы. сам сайт и/или сервер, при своей работе могут создавать необходимые для работы файлы, создавая ложные срабатывания

система контроля размеров файлов


как отметил выше, при некоторых типах вторжения, создания новых файлов не происходит и "зловред" размещается внутри уже имеющихся файлов.
для обнаружения подобного, необходимо вести систему учета размеров файлов (их контрольных сумм)
сделав слепок с сайта, который не заражен, вы в последующем будете снимать слепки с работающего сайта и выявлять изменения, если таковые будут

из минусов, опять же на шаред хостинге скорее всего не будет работать (именно этот набор команд. сам принцип, будучи реализован другими инструментами, прекрасно будет выполнять свою задачу). требует вести "базу данных", которая может быть скомпрометирована взломщиком (маловероятно, но все же). все так же могут быть ложные срабатывания на изменения в файлах, которые происходят в ходе работы сайта/системы.

поиск файлов, содержащих "плохие слова"


при помощи функции grep или есть подобной (или реализацией на каком-то из языков программирования) искать в файлах сайта, вхождения "плохих слов".
почему "плохих" и почему в кавычках?
зачастую "плохие" конструкции используются как раз взломщиками, пытающимися усложнить вебмастеру, который пытается разобраться что происходит с его сайтом. тем не менее, сами эти конструкции изначально плохого функционала не несут и могут быть вполне легитимно присутствовать в коде сайта и выполнять полезные для сайта вещи.

из минусов, вебмастер должен хорошо понимать, что он видит в результате подобного поиска. легитимна ли здесь например функция "eval" или это уже злоумышленник постарался. взломщики используют обфускацию и прочие манипуляции с кодом, изменяющие написание имен функций, а значит и поиск "плохих слов" не сработает

анализ логов доступа


анализировать какие страницы посещают боты поисковых систем. вы сразу увидите среди обычных страниц, новые страницы залитого дорвея.

из минусов, необходимо настраивать логирование (бывают хостинги, где логирование отсутствует в принципе и необходимо самостоятельно писать систему логирования визитов), чтобы писалось больше информации. и логи необходимо анализировать (визуализировать)

антивирусы для сайта

существуют так называемые "антивирусы" для сайтов (иногда даже в составе самой CMS), которые работают плюс минус по тем же принципам, что я обозначил выше (поиск новых файлов, поиск файлов у которых изменилась контрольная сумма, поиск файлов в которых есть "плохие слова")
пользоваться ими можно, не забывая ни один из способов не гарантирует 100% обнаружения заразы и при этом еще может требовать технического бекграунда, чтобы понимать что было обнаружено.

+- все тоже самое, в формате видео/аудио

3 комментария 👇

я долго маялся со взломами моих сайтов, пока не перешел на статику. Да немного геморрно, но если сайты обновляются редко "заливами" контента, то лучше решения не нашел.

  Развернуть 1 комментарий

@vendos, да, это один из вариантов, в видео я кажется упоминал, в текстовой версии не стал.
как всегда вопрос удобства и технического бекграунда вебмастера. кто-то без словного WP/DLE/cms_name ничего сделать не может, поэтому и вынужден терпеть последствия своего выбора и искать пути решения возникающих проблем.
а кто-то пилит туже статику, которой взлом не грозит (по крайней мере со стороны кода)

  Развернуть 1 комментарий
Reset , PHP Механик 4 ноября 2021

Если доступ к SSH заблокирован, то можно попробовать php файлом через shell_exec, оно обычно не блокируется (ну и проверить как бы очень просто)

или вот вариант на нативной пыхе https://stackoverflow.com/questions/24783862/list-all-the-files-and-folders-in-a-directory-with-php-recursive-function/35315903
(это может быть дольше, но я напомню, что запуская через командную строку/планировщик у скрипта нету времени выполнения)

далее дописываем одну строку вывода в телеграм бота и все в планировщик

профит

  Развернуть 1 комментарий

😎

Автор поста открыл его для большого интернета, но комментирование и движухи доступны только участникам Клуба

Что вообще здесь происходит?


Войти  или  Вступить в Клуб