Архив рубрики: Защита сайта от взлома

Выложил на youtube запись вебинара на тему про защита своего сайта

19 марта проводил выступление про безопасность сайтов.

Запись своего выступления выложил на youtube и обновил свой пост про безопасность сайта

 

 

Хотите узнать как взламывают сайты

Завтра в 19:00 пр Московскому времени вместе с Вячеславом Кончаковским будем проводить вебинар  посвященный бизнесу в интернет.

Вячеслав будет рассказывать на тему:

создание сайта воронка.

Тема моего выступления:

Как взламывают Ваши сайты

Ждем завтра 19 марта в 19:00 по Московскому времени

на бесплатном вебинаре по адресу:

 http://www.gvolive.com/conference,90221250

Небольшой анонс моего выступления можно посмотреть на ютубе:

Анонс вебинара с Галиной Молоквас (в гостях у SkypA)

В рамках подготовки к вебинару по теме «Как защитить свой блог» я дал небольшое интервью Галине Молоквас.

Антон Зубцов проводит серию обучающих вебинаров под названием «В гостях у SkypA». И в рамах предстоящего вебинара я дал небольшое интервью Галине.

Данная серия будет посвящена компьютерной грамотности и тому, что требуется знать всем, кто решит вести свой бизнес в интернет.

Прослушать интервью можно двумя способами:

Аудио запись с сайта rpod.ru



Или посмотреть ролик на youtube:

Установка зараженного программного обеспечения

также крайне распространенный способ.

К примеру, Вы заходите на какой-то сайт. Там Вам выскакивает предупреждение, что данный сайт заражен. Логотип Касперского. И Вам предлагается обновить срочно Касперского, так как ваш безнадежно устарел. Срочно скачать Касперского!

фальшивый касперский

и такое бывает

И вы послушно скачиваете “обновление касперского”. Ваш настоящий Касперский кричит Вам “Нет!” что вы делаете, этот сайт непроверенный.
А добрая программа советчик Вам сообщает что Ваш антивирус заражен и устарел!
Вы послушно устанавливаете программу и дальше живете ничего не подозревая.
С течением времени Ваш компьютер начинает тормозить и через какое-то время Вы или переустанавливаете Windows или антивирус лечит все-таки Вас.

на самом деле — Вы сами собственоручно подсадили себе вирус. И ваш компьютер подключается к бот сети. Мошенники его уже используют для других целей:
ddocить сайты
красть Ваши пароли
и прочие добрые вещи совершать.

Мошенники такого типа покупают посещаемые сайты или сами создают и таким образом распространяют вирусы.
Могут даже Ваши данные карточки украсть.
В наш век, “когда космические корабли бороздят просторы родной планеты” к данным своей пластиковой карточки надо относится трепетно.
Если б мне в свое время не предлагали данных по 20 000 карточек за 300 $ я б наверное так трепетно не относился к своей пластиковой карточки. К примеру, в ресторане я никогда не отдаю свою карточку официантам. Подвергаюсь усмешкам. Но лучше перестраховаться., как говорится.

Как у Вас крадут пароли через сайты обманы?

Часто такие сайты еще называют фейк от английского слова fake — обман. К примеру — Вам приходит письмо по почте — “зачем Вы разместили свое фото обнаженным?!!!” Срочно удалите такую фотографию или Ваш акаунт будет заблокирован!
Примерные варианты таких писем:
“Увидела твои фотографии — все эти годы не могла тебя забыть — срочно выйди в сеть!”
“вы получили бонус — срочно получите!”
и т.д.
Подпись — администрация сайт “Вконтакте”. И ссылка для входа на сайт.
Конечно! Вы сразу же кидаетесь удалять фото. Кликаете по ссылке — видите сайт “Вконтакте”. Вводите свой логин — пароль, входите на сайт и не видите, что никаких фото не размещено!

Выглядет может примерно так:

bc886feb33bff9592876da2f157afac1

Что произошло на самом деле. Вы получили обычный спам! В этом письме была ссылка на сайт обманку. Fake. Вы ввели свой логин — пароль. Мошенники его записали. И после этого, перенаправили Вас на настоящий сайт.
Вы даже не заметили подлога. А пароль у Вас уже украли!

После чего на Вашем аккаунте начнут выкладывать ерунду всякую.
Если говорить про соц сети, то обычно одни начинают от Вашего имени приглашать людей в какую-нибудь группу. Ну а Ваш акаунт черезх какое-то время банят.

В свое время мне нужны были акаунты от соц сети вконтакте. Купить можно было двух типов — созданные и украденные.
Украденные были дешевле. Что — то вроде 7$ за 100 штук. Даже сейчас их легко купить на некоторых форумах. Честно сказать — один раз купил — но стало крайне неприятно. Эти логины удалил, и больше такие не покупал.

Как смена пароля помогает защитить сайт?

Большинство пользователей интернет пользуются одними и теми же паролями в разных местах. Еще и крайне редко их меняют.

Каюсь — я и сам делал ровно точно также.
Сейчас взял привычку — храню пароли от доступов где есть деньги в голове. Придумал для себя систему создания паролей.
А вот те пароли, от малозначимых доступов — храню в файле с паролями и этот файл у меня запоролен.
так и пароли все сохраняю, и не гадаю — какой же у меня пароль ! Не ищу в почте какой же пароль и на какой е-мейл и с каким логином.

Помню мне в свое время скидывали БЕСПЛАТНО доступы к 16-ти тысячам сайтов. Честно сказать сам был в шоке.

Защита сайт по ФТП

FTP — это такой протокол подключения к вашему хостингу. Не на всех хостингах, но тем не менее есть слуга ограничить возможность изменения содержимого сайта только с определенного IP.

Очень частый случай заражения сайтов — это именно случаи, когда сайты инфицируют ваш сайт с Вашего же компьютера!

Пароли от ФТП крадут чаще всего! Любой специалист по защите сайта при взломе в первую очередь рекомендует поменять пароль от фтп. Ставьте пароль всегда не самый тривиальный. И желательно его меняйте !

Как защитить свой сайт от спама?

При установке форм регистрации, комментариев и т.д. проверьте обязательно, чтоб была captcha. captcha также не спасает от спама. НО !

Ее становится значительно меньше. А для комментариев ключевой рекомендаций является премодерация записей (перед публикацией ручная проверка).

Есть форумы в интернете, которые люди уже давно не читают, а боты поисковые продолжают в них писать полную ерунду. Если Вы используете систему управления сайтом вроде WordPress, Bitrix и т.д. вероятность получить кроме спама еще sql инъекцию практически равна нулю.

Раньше же, когда систем управления сайтами было мало, популярен был способ sql или php инъекции. В чем суть — через форм на сайте Вам вставлялся php код. После чего мошенники получали доступ к вашему сайту).

Помню на первом моем сайте произошел куръезные случай — написал скрипт, который отображает архив. Дал посмотреть своему знакомому. Который мне через 5 минут показал через данную форму весь сервер (с личными папками, конфигурационными файлами и т.д.)

Желание самому писать скрипты у меня пропало после этого.

Бывают еще малопродуманные скрипты, которые не рассчитаны на разные «неправильные действия» пользователи. К примеру, введут слово из 1000 символов. И вся разметка на сайте поехала.

В любом случае, использование стандартных решений для защиты от спама существует всегда.

Как защитить сайт от ddosa?

Эта наверное самое больное место у крупных проектов. До недавнего времени уголовного наказания за ddos у нас в стране не существовало. Как происходит атака? Тысячи зараженных компьютеров (который предвариетельно заразили и могут отдавать ему команды для выполнения. В частности, могу дать команду посетить какой-нибудь сайт) начинают подключаться к какому-то сайту. В результате на сайте появляется высокая нагрузка и сервера не справляются.

Когда у меня был раскрученный проект — примерно 1 раз в 1-2 месяца сайт ddosили и он по 2-3 дня был недоступен.
Защиты от ddosa практически нет. (например год назад нашумела история, когда из-а ddosa был недоступен дневник Дмитрия Анатольевича.

Некоторые переносят сайт на очень толстый хостинг, который может выдержать атаку. К примеру, у меня сервер был рассчитан на количество пользователей не более 500 одновременно. Во время ddos атаки подключались одновременно примерно 50 000 компьютеров. То есть,возможности сервера превышались раз в 100. Но если бы был сервер в 100 раз мощнее плюс поиграться с настройками — то сервер вполне мог выдержать. По факту можно констатировать, что хорошую атаку выдержать практически невозможно. Но если Вам атакует не сильно большая сетка — то можно выдержать атаку вполне.

Понятное дело, что сайты, которые изначально рассчитаны на большую нагрузку (сети «Вконтакте», «Однокласники», «Mail.ru» и т.д.) изначально рассчитаны на большие нагрузки и могут в принципе не заметить атаки :). К примеру, на сайте «Вконтакте» одновременно может находится 3-4 млн пользователей. Подозреваю, что сервера расчитаны на 4-7 миллионов пользователей. Если его начнет атаковать сетка из 100 тысяч компьютеров, то сервера вконтакте просто не заметят атаки, так как рассчитаны на такие нагрузки.

Следующий шаг на пути от взлома сайта хакерами

является установка последней версии системы управления Вашим сайтом. Если это Платная или бесплатная версия — постоянно проверяйте обновления системы управления сайтом. 

Если устанавливаете дополнительные плагины, устанавливайте только от проверенных разработчиков софта.

К примеру, в системе управления сайтом «WordPress» появляются вот такие уведомления:

обновления для wordpress

Как выглядят обновления для wordpress

Как узнать проверенный или нет? Наверное самый простой способ — слушать рекомендации уже проверенных блогеров или специалистов.
Другой способ — посмотреть сколько сайтов ссылается на сайт разработчика. Сделать это можно, к примеру на сайте pr-cy.ru
Если тИЦ сайта выше 150-200 — то скорей всего это проверенный сайт. PR от 3.
если не уверены — не устанавливайте пожалуйста ничего.

В коде многих систем управления (в том числе и платных) бывают уязвимые места. И именно ими пользуются настоящие хакеры. Более того, они пишут программы, которые ищут сайты с такой же уязвимости и уже взламывают их.

Установление последних обновлений позволяет минимизировать эту проблему (пока до вас не добрались вредоносных программы).