Что такое взлом сайта и почему он происходит

Статья отвечает на вопросы:

  • Что такое взлом сайтов?
  • Кто и зачем взламывает сайты?
  • Как происходит взлом сайта?
  • Почему взломали именно мой сайт?

Взлом сайта — это получение злоумышленником несанкционированного доступа к файлам сайта или к разделу администрирования системы управления сайтом. Взломы сайтов бывают двух видов:

  • Целевой — в этом случае злоумышленник имеет задачу взломать конкретный сайт, например, для получения доступа к конфиденциальным данным посетителей или владельца сайта. Такой тип взлома встречается редко и далее рассматриваться не будет, однако для противодействия ему могут использоваться те же средства, что и для противодействия массовому взлому.
  • Массовый — в этом случае конкретный сайт значения не имеет. Злоумышленник пытается получить доступ к максимальному количеству произвольных сайтов, чтобы в дальнейшем использовать их в своих целях. Именно об этом типе взлома в дальнейшем пойдет речь.

В результате взлома злоумышленник может загружать на сайт произвольные файлы, запускать скрипты, модифицировать содержимое сайта, а также перехватывать данные, которыми сайт обменивается с посетителями. Взламывая сайт, злоумышленник, во-первых, получает бесплатный и анонимный хостинг для выполнения любых скриптов и для размещения любой информации в пределах взломанного сайта или для рассылки спама, а во-вторых, он получает доступ к аудитории сайта и может со страниц сайта заражать компьютеры посетителей вирусами или перенаправлять их на мошеннические сайты.

Взломанные сайты могут также использоваться для осуществления атак DDoS, взлома других сайтов и для запуска любых других вредоносных программ, так как аккаунт хостинга, на котором размещается сайт, — это полноценный пользовательский аккаунт операционной системы на сервере хостинга, позволяющий запускать любые приложения.

Для взлома сайта злоумышленник может использовать любой способ, который позволяет ему производить модификацию файлов сайта.

Наиболее часто встречающиеся способы взлома таковы:

  1. С помощью вируса на компьютере, с которого владелец или разработчик сайта подключается к сайту через FTP, злоумышленник крадет пароль от аккаунта FTP, после чего может подключаться к аккаунту и изменять или загружать произвольные файлы. Так как сайт часто располагается в папке, имя которой совпадает с именем сайта, для злоумышленника не составляет труда определить, проникновение на какой сайт он совершил. Также информация об имени сайта часто содержится в настройках подключения FTP, которые были украдены злоумышленником.
  2. Аналогично доступу по FTP может использоваться украденный доступ по SSH, с той лишь разницей, что при работе по SSH для запуска произвольных программ не требуется обращаться к сайту, размещенному на аккаунте.
  3. Также злоумышленник может украсть пароль от административной панели сайта, предназначенной для редактирования его страниц. Панель администрирования, как правило, предоставляет возможности для загрузки на сайт произвольных файлов. Воспользовавшись ей, злоумышленник загружает на сайт вредоносный скрипт, через который осуществляет дальнейшую работу с сайтом уже без необходимости входа в административную панель.
  4. Узнать пароль от FTP, SSH или административной панели сайта злоумышленник может также перебором по словарю, если пароль недостаточно сложен.
  5. Проникнуть на сайт без использования пароля злоумышленник может через уязвимость в используемой системе управления сайтом (CMS) или в одном из ее расширений. В этом случае злоумышленник использует ошибку в логике программы и заставляет систему вести себя не так, как задумывалось ее разработчиком. В результате этих действий злоумышленник может загрузить на сайт скрипт, через который осуществляется дальнейшая работа. Существуют базы уязвимостей, с помощью которых любой желающий может узнать о том, как применить ту или иную уязвимость к той или иной CMS. Этот способ взлома используется очень часто, так как база уязвимостей постоянно пополняется сообщениями о новых ошибках в CMS, а владельцы сайтов редко обновляют системы управления сайтом или их расширения до актуальных, не подверженных уязвимостям, версий.
  6. Проникнув на сайт, злоумышленник через него может получить доступ к другим сайтам, размещенным на том же аккаунте хостинга. Таким образом, сайт может быть взломан даже если на нем нет уязвимостей и к нему невозможен доступ по FTP или SSH — только потому, что этот сайт находится на одном аккаунте с уязвимым сайтом.

После взлома сайта любым способом злоумышленник чаще всего загружает на него один или несколько скриптов, которые позволяют ему в дальнейшем проникать на сайт, даже если уязвимость уже закрыта, а все пароли изменены. Как правило, злоумышленник старается замаскировать такие скрипты, размещая их глубоко в структуре папок сайта или присваивая им имена, похожие на имена скриптов CMS. Также код для проникновения может быть внедрен в какой-либо из уже существующих файлов CMS — таким образом злоумышленник избегает создания новых файлов, затрудняя обнаружение вредоносного кода.

Так как злоумышленник имеет целью заразить не конкретный сайт, а заразить как можно больше сайтов, он пытается получить доступ ко всем сайтам подряд. Чтобы получить список сайтов для перебора, достаточно воспользоваться поисковой системой. Например, найти сайты на Joomla можно с помощью поискового запроса Google. Если какой-либо сайт оказался взломан, то это произошло потому, что злоумышленник случайным образом нашел его в поиске или перебором имен, и потому, что на сайте оказалась уязвимость, либо из-за того что были скомпрометированы пароли доступа к сайту.

Таким образом, нельзя считать, что сайт в безопасности только по той причине, что «никто про него не знает». Чтобы обеспечить безопасность сайта, необходимо предпринимать соответствующие меры: производить своевременное обновление CMS и ее расширений, работать с сайтами с компьютеров, защищенных антивирусным ПО, и предотвращать раскрытие паролей для доступа к сайту и к аккаунту хостинга.

Вам также будет полезно узнать:

1 комментарий

Добавить комментарий