Home / Блоговедение / Как у меня взломали сайт
Как у меня взломали сайт

Как у меня взломали сайт

Недавно со мной приключилась занятная история, про которую хочу рассказать – вдруг кому-то будет полезно. Дело в том, что на одном из моих сайтов на WordPress какой-то злоумышленник установил левые скрипты и прочий свой хлам. Но, обо все по порядку.

История взлома сайта – начало

Как-то в августе при заходе на сайт вместо главной страницы появился просто черный экран с таким вот чудом:

Я первым делом подключился к серверу по FTP и полез смотреть папку сайта. Там на первый взгляд не было ничего странного, в админку сайта можно было тоже зайти… Вот только вместо самого сайта по любой ссылке появлялась эта картинка.

Взломанный сайт

Потом я решил проверить файл index.php, с которого и начинается, в принципе, загрузка сайта. Размер этого файла оказался в несколько раз больше, чем у обычного. Открываю его в блокноте, и вижу все его содержимое:

Код подмененной страницы

Да, это он выводил свою ерунду вместо того, что должно было выводиться. Недолго думая, я заменил index.php на нормальную версию, и сайт снова приобрел прежний вид. На этом я успокоился — лихо решил проблему, чего бы не порадоваться. Оказалось, что радоваться было рано.

История взлома сайта – продолжение

Буквально недели через две при заходе на сайт обнаружилось то же черное явление, только картинка была другая:

Вторая попытка взлома сайта

Ну, я уже знаю, что делать, подумал я, и сразу полез смотреть файл index.php. Как и следовало ожидать, он оказался заменен на другой. Содержимое показывать не буду, не в этом суть. Меняю его снова на оригинал, и сайт снова работает.

Но встает вопрос – как злоумышленник меняет этот файл? Из админки его просто так не поменяешь, значит, он имеет доступ к хостингу или может подключаться по FTP. На всякий случай меняю пароли на хостинге.

Потом я подумал – может, он просто проник в админку сайта, поставил какой-нибудь плагин или добавил какие-нибудь свои страницы, и может видеть папки сайта без подключения по FTP? Посмотрев в плагины, вижу такую штуку:

Плагин, дающий доступ к файлам сайта

Да, он всего-навсего зашел в админку, установил этот свой плагин, и теперь может лазить по папкам сайта, что-то там загружать, удалять… Если бы он не выпендрился и не сменил главную страницу, я бы не скоро догадался, что сайтом пользуется кто-то другой.

Ладно, подумал я, надо почитать про этот плагин. Но найти удалось мало чего, кроме советов по глобальной замене всего движка сайта, плагинов, темы – злоумышленник мог спрятать свои файлы среди них или добавить свой код прямо в любой исполняемый файл – тех же плагинов, темы.

Пришлось присмотреться получше к папкам, и тогда я нашел еще кучу всего. Я нашел архивы zip, со всякой ерундой, которые злоумышленник загружал через свой плагин. Также я нашел уже папки из этих архивов. Вот пример содержимого одной такой папки:

Содержимое одной из хакерских папок

Для чего это все, я пока не разобрался. Понял только, что эта ерунда как-то рассылала письма, а еще принимала оплату на PayPal, там все для этого есть. Возможно, этот паразит занимался вымогательством, ломая сайты. Кстати, в спаме обнаружились левые письма с сайта, которые рассылались несколько дней просто огромными партиями – приходили по несколько раз в минуту. Содержали они техническую информацию, возможно, для самого взломщика.

Что я делал

Конечно, первым делом я вычистил весь посторонний хлам, какой смог найти. Потом поменял пароль в админке, и поставил плагин Protected-WP-Login, который вообще меняет адрес страницы входа в админку на другой, и делает нерабочим прежний адрес.

Потом я удалил все файлы WordPress, потому как их очень много, и найти что-то постороннее в них просто нереально. Заменил их полностью. Если что-то было в папках и файлах движка, то удалилось.

Заменил и все остальное – тему, плагины. В общем, поставил все чистое, где мог. Теперь посмотрим, появится ли этот паразит снова или нет. Сайт – сложная штука, и он все-таки мог что-то где-то глубоко закопать для резервного доступа. Какой-нибудь простейший скрипт, например, который при запуске просто высылает письмо с данными входа. Остается наблюдать и контролировать работу сайта.

Все еще думаете, что Ваши сайты никому не нужны, тем более хакерам? Верите в поговорку – «у меня там красть нечего»? А если и нечего, что мешает заставить Ваш сайт делать те же рассылки? По голове получите Вы, и сайт за спам заблокируют Ваш, в конце концов. Ну, или как-то так. Рассказывайте свои истории взлома, это интересно.

Читайте также:

Нужна ли покупка ссылок для сайта?

Полезна ли покупка ссылок для сайта?

Здравствуйте, уважаемые читатели моего блога. Сегодня хочу рассмотреть с разных сторон такую тему, как покупка …

Instant WordPress - отличный локальный сервер

Instant WordPress — устанавливаем блог и локальный сервер в 1 клик!

Здравствуйте, друзья! Давненько не писал ничего, надо исправляться. И вот, глядя на всю суматоху, которая …

7 комментариев

  1. А пароль к базе данных меняли?
    Надо менять и в админку, и к фтп, и к базе данных

  2. Владимир

    Буква т пропущена. в предпоследней строчке. Юр, привет. Как сам думаешь? Если сайт размещен на защищенном ресурсе, то взломали либо твой комп с паролями либо этот ресурс. Что проще? Тогда ты аккуратней с мерами безопасности, а то его там разорвет со смеху. На самом деле я не много пошутил на счет поаккуратней и разорвет. Не обижайся. Мы с тобой знаем друг друга давно и ты знаешь я не злорадный и тд. Обратись в службу поддержки хостинга, они должны помочь, пока и правда не пришлось заново все нарабатывать. Жаль конечно, что засранцы портят людям их любимое дело.

    • Юрий Пономаренко

      Да просто я там никакой безопасностью не озадачивался, никаких дополнительных мер не принимал. Так что тупо можно было потратить время и перебором пароль к админке подобрать.

  3. У меня тоже был случай взлома блога на ВП. Я это узнал, когда начал ругаться мой антивирус при попытке открыть страницу блога. Но там злоумышленник разместил код какого-то скрипта по файлам шаблона (темы), я все это аккуратно прибрал, проверил антивирусом все, что на хостинге у меня было размещено именно в директории блога и все. Изменил пароль входа в админку блога и пока что тихо все.

    • Юрий Пономаренко

      Так у меня тоже было. Тоже все зачищал, потом проверял сайт разными онлайн — антивирусами. Плагин Antivirus с тех пор иногда включаю, на всякий случай.

  4. Юра, привет. Я знаю, что ты парень смышлёный. Я бы на твоём месте попытался выяснить, с какого IP подключались к админке и запретил бы доступ. У меня стоит достаточно умный маршрутизатор, так в логах недавно заметил, что кто-то долбится в админку роутера. Зачем? Не знаю, но там тоже можно скрипты разные подключать. Я запретил подбор пароля более 10 раз, а там бан на 3 дня. Так гады начали подключаться другим способом. Пока не сменил порты на разных сервисах, пытались подбирать пароль. Сейчас логи молчат о подборе пароля. Вот такая история.

  5. Один раз тоже не смог открыть блог, уже не помню что там было написано. Подумал: «Всё кранты блогу, взломали». Попытки зайти на сайт хостинг провайдера, тоже не дали результата. Вообщем оказались тех.проблемы у хостинга. Но на всякий случай после этого сменил все пароли и провёл другие мероприятия по защите блога. Всё таки надеяться что тебя пронесёт, не стоит.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *