Турецкие хакеры атакуют - будьте бдительны! 6 ключевых советов, которые усложнят взлом вашего сайта

Утро моей студии xpert было прекрасным, оно началось в 6:00, когда мы обнаружили, что практически все боевые сайты, клиентов взломаны хакерами, а ссылки перенаправляют совсем на другие ресурсы. Вместо "доброе утро" милое приветствие HACKED BY AYYILDIZ TIM.

Сейчас уже все сайты работают в штатном режиме, вот несколько фоточек с их заглушками:

Примечательно то, что это была массовая атака, мы нашли инстаграм хакеров AYYILDIZ TIM, взлом был осуществлен очень серьезный, через apache встроили на уровне сервера вставку кастомного кода, в любую отдаваемую сервером страницу. Что сделали:

  • Просканили конфиги апача
  • Отключили ssh
  • Просканили айболитом и вычистили все гуано, что он нашел
  • 404 на все файлы, кроме uploads
  • Запрет выполнения php из uploads
  • Запрет POST с допуском по белому списку

Ключевые советы, которые усложнят хакерам работу:

1) Всегда на все свои учетные записи делайте разные пароли и старайтесь их делать максимально сложными с кучей символов.

2) Никогда не храните пассы в браузере, их легко могут стащить

3) Всегда по завершению проекта очищаемся от ненужных файлов/скриптов.

4) Все, что вы можете кастомизировать (путь к админке, путь к важным конфигам) - делайте.

5) По возможности исключайте загрузку файлов из форм на сайте

6) Меняйте доступы после работы подрядчиков.

И меньше взломов Вам! После завершения всех работ по очистке напишем подробный обзор, как и что сделали.

0
25 комментариев
Написать комментарий...
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Владимир Щедрин

От души лайк))

Ответить
Развернуть ветку
Andrew Podolsky
Автор

А чего они сервера ломают?

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Nikita Kriuchkov

Не использовать популярные CMS c дырявыми плагинами, типа WordPress?

Ответить
Развернуть ветку
Sergei Timofeyev

У меня как-то сайт почти полтора года простоял без логина и пароля можно было войти. Случайно обнаружил, когда пароль неправильно ввёл. WP + какой-то плагин. :)

Ответить
Развернуть ветку
Andrew Podolsky
Автор

бывает, есть плагины для вп, которые спецом сделаны, чтоб развивать бот неты.

Ответить
Развернуть ветку
Sergei Timofeyev

Ну так профессионал должен заниматься этим. Я чужие CMS крутил, находил дыры и латал, если оно уже не поддерживалось.

Ответить
Развернуть ветку
Andrew Podolsky
Автор

Мы в целом только проверенные плагины используем для wp.

Ответить
Развернуть ветку
Олег Журавлев

Как вы их проверяете ? Айбплитом или Касперский ???

Ответить
Развернуть ветку
Andrew Podolsky
Автор

Ну - это большинству юзеров недоступно, ибо чистый код дорого стоит.

Ответить
Развернуть ветку
Sergei Timofeyev

А разве сейчас у кого-то чистый код? Всё на фреймворках

Ответить
Развернуть ветку
Nikita Kriuchkov

Тогда взломы неизбежны, я не знаю как сейчас, но в 2009 в плагинах на WP был ад.

Ответить
Развернуть ветку
Andrew Podolsky
Автор

В плагинах да, но в целом wp комьюнити борется и совершенствует защиту.

Ответить
Развернуть ветку
Andrew Podolsky
Автор

Если у вас есть советы, как еще можно защитить сайт от хакеров базовыми методами, которые доступны обычному юзеру, буду рад их прочитать в комментах!

Ответить
Развернуть ветку
Олег Журавлев

Нанять толкового админа и настроить сервера, регулярно менять пароли и делать бекапы, мыть руки и чистить зубы ))

Ответить
Развернуть ветку
Andrew Podolsky
Автор

руки да)) все дело в руках и зубах.

Ответить
Развернуть ветку
Sergei Timofeyev

Выключать на ночь.

Ответить
Развернуть ветку
Andrew Podolsky
Автор

Кстати, как вариант еще двух факторная авторизация.

Ответить
Развернуть ветку
Sergei Timofeyev

Это для Апача?

Ответить
Развернуть ветку
Andrew Podolsky
Автор

нет для входа в админку сайта, не всегда же взлом на уровне апач идет.

Ответить
Развернуть ветку
Sergei Timofeyev

Эм... открытого входа к критическим узлам быть не должно

Ответить
Развернуть ветку
Andrew Podolsky
Автор

так его и нет, но он появился за счет встроенного шела http://joxi.ru/eAOR3EVTxlqgw2?fbclid=IwAR2Qr-BTTkRP6oXKrtJPsxXUx7tFmT6cJKw9rdXnp_1IRmWaRj1OtFz9Suk

Ответить
Развернуть ветку
Sergei Timofeyev

Разберитесь с правами. :)

Ответить
Развернуть ветку
Олег Журавлев

В вашем случае взломали на уровне апача, о чем вы сами написали а это значит что админку было лень настроить все сразу )

Ответить
Развернуть ветку
22 комментария
Раскрывать всегда