Как вирусы на сайте «убивают» поисковое продвижение

Отсутствие уязвимостей на сайте и его готовность противостоять атакам хакеров — вопрос важный, но зачастую упорно игнорируемый владельцами сайтов. Но на деле последствия взлома сайта могут оказаться очень печальными — потеря позиций, сокращение трафика, страницы не в индексе…

Статья на портале «SeoNews.ru»

0c832520bf226d3adcde376954b5db1d

 

 

Хакер взломал сайт и вымогает деньги

Ежедневно взламывают десятки тысяч сайтов. Большая часть скомпрометированных сайтов используется хакерами как инструмент заработка. Паразитирование может иметь несколько форм:

  1. на сайте размещают специальный код, который показывает рекламу, вставляет ссылки на страницах или заражает компьютеры посетителей троянами и вирусами
  2. с хостинга рассылают спам
  3. с сайта воруют посетителей и перенаправляют на партнерские программы

Но есть еще одна популярная “черная” схема заработка, когда хакер взламывает сайт и вымогает деньги за закрытие уязвимостей. В большинстве случаев это маскируется под добродетель, предложение помощи за скромное вознаграждение. Выглядит это так:

  1. Хакер находит уязвимый сайт (используя тематические каталоги, дорки или сайт взламывается “по наводке”)
  2. Загружает на него веб-шелл или бэкдор, с помощью которого получает контроль над сайтом и аккаунтом хостинга
  3. Связывается с владельцем сайта через соцсеть, по скайпу или email, сообщая о том, что он обнаружил опасную уязвимость на сайте и готов помочь ее закрыть за вознаграждение
  4. С помощью демонстрации возможных последствий или запугивания, хакер вынуждает владельца согласиться сотрудничать. А в случае отказа уничтожает сайт, выкладывает его копию в публичный доступ или начинает незаметно зарабатывать на нем, используя перечисленные выше варианты

Опасность данной ситуации в том, что у хакера есть полный доступ не только к файлам и базе данных сайта, но часто к резервным копиями и логам, которые он может уничтожить. В итоге можно полностью потерять сайт без возможности восстановления. Поэтому крайне важно выработать грамотный алгоритм действий, который в случае взлома сайта и шантажа со стороны хакера позволит сохранить сайт и повысит шансы найти злоумышленника.

Что делать, если вас взломали и шантажируют, читайте в полной версии статьи.

Почему плагины безопасности не защищают сайты от взлома

Все еще думаете, что плагины безопасности cms защищают ваш сайт от взлома? Поставили RSFirewall? Sucuri Firewall? WP Lockdown? Но сайт все равно взломали?

Читайте всю правду на cmsmagazine.ru в статье «Что если плагины безопасности cms не защищают сайт от взлома«. В этот раз я написал много букв.

Моя статья на Cossa.ru: 5 заблуждений владельцев коммерческих сайтов

Пять заблуждений владельцев коммерческих сайтов, которые приводят ко взлому ресурсов и потере бизнеса.

teaser305

http://www.cossa.ru/articles/152/83819/

Запись вебинара «Лечение мобильных, поисковых редиректов и дорвеев на сайте»

«В рамках обучающего курса от компании «PentestIT» приглашенный специалист Григорий Земсков из компании «Ревизиум» (это я :-) ) провел мастер-класс по лечению сайта от взлома.»

Из вебинара вы узнаете:

  1. Зачем взламывают сайты
  2. Какие виды вредоносного кода встречаются на сайте
  3. Как поймать, проанализировать и удалить мобильный и поисковый редирект
  4. Как найти и удалить дорвеи
  5. Угрозы спам-рассылок, дефейс, нагрузка на cpu
  6. Реальные кейсы по лечению сайтов компании «Ревизиум»

Записи моих мастер-классов по лечению сайтов и защите от взлома на SeoPult.tv.
mc_recover
«Восстановление сайта после взлома»

— с какой целью взламывают сайты;
— почему владельцы сайтов не уделяют достаточного внимания безопасности;
— какой ущерб может быть нанесен в результате взлома;
— каковы прямые и косвенные признаки взлома;
— как собрать информацию о взломе;
— какими методами восстановления сайта следует пользоваться;

«Поиск и удаление редиректов с сайта»

— что такое несанкционированные редиректы;
— какие существуют виды редиректов по типу срабатывания и назначению;
— как работают редиректы;
— как провести анализ серверных, браузерных, мобильных и поисковых редиректов;
— как правильно избавляться от нежелательных редиректов;

Каждый второй бесплатный шаблон wordpress заражен или уязвим

На просторах интернета можно встретить множество статей, предупреждающих пользователей об опасности установки бесплатных темы, скачанных не с оригинальных сайтов. Говорят, что в этих шаблонах могут содержаться вирусы и другой вредоносный код. Мы решили это проверить, поэтому сделали анализ 2350 руссифицированных шаблонов для WordPress, которые блоггеры используют на своих сайтах.

Результат нас неприятно удивил. Более половины, а точнее 54%, оказались зараженными хакерскими веб-шеллами, бэкдорами, black hat seo (“спам”) ссылками, а также содержали скрипты с критическими уязвимостями.

зараженные темы wordpress

Темы и шаблоны для WordPress мы скачивали с популярных сайтов-каталогов, предлагающих русскоязычные премиум и тематические шаблоны:

  1. best-wordpress-templates.ru (99% зараженных или уязвимых тем)
  2. wordpress-ru.ru (99% зараженных или уязвимых тем)
  3. wpfree.ru (97% зараженных или уязвимых тем)
  4. wpfreethemes.ru (16% уязвимых тем)
  5. bestwordpress.ru (7% уязвимых тем)
  6. wordpresso.ru (3% зараженных тем)

Подробное исследование читайте на сайте revisium.com.

Доклад на PHDays 2014

В конце мая проходила международная конференция Positive Hack Days 2014, на которой я выступал с докладом «Приемы, затрудняющие обнаружение и анализ вредоносного кода в PHP«.

s93HMKv_v0I

Посмотреть и послушать здесь

(справа ссылка 10:53 — «Приемы, затрудняющие обнаружение и анализ вредоносного кода в PHP – сценариях. Григорий Земсков»)

Хостинг заблокировал сайт. Что делать?

Одним из наиболее типичных последствий взлома/компрометации сайта является загрузка на сайт вредоносного кода, вирусов и хакерских скриптов. Эти скрипты могут начать рассылать спам, проводить флад/DOS атаки на другие ресурсы, распространять вирусы, перенаправлять посетителей на фишинговые страницы и выполнять другие опасные действия.

Часто возникает ситуация, когда аккаунт с сайтами блокируется хостингом за нарушение правил оказания услуг. Разберемся в причинах, по которым хостинг может заблокировать сайт в ключе информационной безопасности сайтов.

Хостинг заблокировал сайт

В результате регулярного мониторинга или жалоб посетителей сайта, хостинг может обнаружить вредоносную активность на взломанном аккаунте хостинга, где размещены хакерские скрипты или проводится спам-рассылка. Чтобы пресечь работу опасных скриптов в рамках взломанного аккаунта, хостинг приостанавливает доступ либо к сайтам, либо к отдельным функциям конкретного сайта. Например, за рассылку спама хостинг блокирует функцию отправки почты без деактивации всего аккаунта или переносит сайт на карантинный сервер. После чего техническая поддержка хостинга направляет уведомление владельцу аккаунта для принятия мер по устранению причин блокировки.

Всего причин частичной или полной блокировки сайта может быть шесть:

  1. Доступ к сайту заблокирован за распространение вредоносного кода (вирусов)
  2. Доступ к сайту заблокирован за фишинговые страницы
  3. Доступ к сайту заблокирован за проведение атак на сторонние ресурсы
  4. Доступ к сайту заблокирован за превышение допустимой нагрузки
  5. Заблокирован доступ к сайту или заблокирована функции отправки почты за рассылку спама
  6. Вирусный сканер обнаружил в каталогах сайта хакерские скрипты или бэкдоры

Читать далее

AI-Bolit — эффективный сканер вирусов и другого вредоносного кода на сайте

Меня часто спрашивают – в чем уникальность сканера AI-Bolit? Чем он отличается от других аналогичных инструментов поиска вредносного кода, таких как maldet, clamav или даже десктопных антивирусов? Краткий ответ – он лучше детектирует вредоносный код, написанный на PHP и Perl. Почему? Ответ ниже.

С каждым днем вредоносный код (хакерские веб-шеллы, бэкдоры и т.п.) становятся более изощренными и сложными. Кроме обфускаций идентификаторов и шифрования кода

современный зашифрованный хакерский шелл

повсеместно начали использоваться неявные вызовы функций посредством методов с callable аргументами, handler’ов и косвенных вызовов функций.

современный зашифрованный хакерский шелл

Все меньше остается вредоносных скриптов с линейной структурой и фиксированными идентификаторами. Код стараются замаскировать и сделать как можно более изменчивым, “полиморфным”

Читать далее

Продам домены

Несколько лет назад у меня было много проектов. Пришло время отпустить их )

sale_img

Продам домены (с движком или без).
Нарядные, трастовые.

  • MINUS1.RU
  • CMCKA.RU
  • MUSICLANCE.RU
  • MUSICONPC.COM
  • OBSTAVIM.RU
  • MUSIC4SALE.RU
  • TRUBUY.RU
  • BESTFOOD.RU
  • KIDSMART.SU
  • GZQ.RU

Пишите на gregzem@inbox.ru с пометкой «Домены» и предложением цены.

Берлин-шмерлин

В Берлине хорошо. Чумовые железнодорожные вокзалы, похожие на аэропорты, вкусная и доступная еда в фаст-фудах, везде много граффити и все пропитано андеграундной культурой, включая бомжей. Запах этой культуры держится стойко, особенно в восточной части.

Если захочется посмотреть архитектуру или музеи, ехать в Берлин не нужно. Потому что наши в 45-м хорошо все разбомбили, а музей эротики не очень впечатляет. Зоопарк хорош, но на один раз. В общем, после пары поездок в Берлин ехать в него больше и не хочется. Конец!

Фото 05.06.14, 16 44 21

Ирландия — как холодно здесь в ноябре…

Прожив в общей сложности месяца три в Ирландии понимаешь, насколько крутая погода в России. Потому что в ноябре здесь — смерть. А в остальное время нужен зонт.

Зато сдал Academic IELTS на 7 и вдоволь наелся картошки во всех ее проявлениях. Ирландский акцент — прекрасен. Хош вошер всем!

ire

ire2

Шотландия — страна Дунканов Маклаутов

В Шотландии и, в частности, в Highlands — охренеть как прекрасно. Эдинбург — сказочно красив. Единственный минус — не побегаешь за каждой юбкой, так как в основном в них мужики ) А вот в Глазго делать нечего, если вы не собираетесь шоппиться. Вернусь.

scot2

scot

Небольшие рекомендации для тех, кто поедет в Англию

В этом году свершилось чудо, и я таки сумел съездить в Англию на неделю.
Лондон.

Небольшой субъективный ауткам после поездки в UK. Если, вдруг, поедете, может пригодиться. Мне бы такая инфа пригодилась и сделала поездку в целом более эффективной. Итак, кратенько…

Читать далее

Лечение сайтов от вирусов, восстановление сайта после взлома

Если у вас на сайте вирусы или сайт взломали хакеры — обращайтесь. Я занимаюсь проблемами безопасности сайта: чищу сайт от вирусов, восстанавливаю сайт после взлома, консультирую по усилению безопасности сайта.

В услугу входит не только удаление вредоносного кода, но и анализ сервера на руткиты, «суидники», поиск уязвимостей в CMS и скриптах, анализ конфигурации апача и PHP. При необходимости можно сделать PENTEST сайта или просканировать его на различного рода уязвимости методом «черного ящика».

Недорого. Пишите.

Безопасность веб-сайтов: открыл группу во Вконтакте

Открыл группу по безопасности веб-сайтов. У кого есть эккаунт ВКонтакте — вливайтесь!

http://vk.com/siteprotect

Делюсь опытом, полезностями, наработками и оказываю посильную помощь нуждающимся и вопрошающим.

Также рекомендую скачать свежую версию скрипта «AI-Болит» для проверки сайта на наличие вредоносных скриптов.

http://revisium.com/ai/

Много чего полезного добавил, и ищет он теперь не только веб-шеллы.

Ищем шеллы и вирусы с помощью AI-Bolit

Зарелизил сегодня новую версию бесплатного скрипта поиска вредоносных скриптов на сайте «AI Bolit».

Скачать можно на сайте http://revisium.com/ai/

Есть FAQ: http://revisium.com/ai/faq.php

Есть статья-памятка про защиту сайта: http://www.revisium.com/kb/protect_advice.html

Есть партнеры: http://revisium.com/ai/others.php#partners

Если умеете программировать или рисовать и желаете поучаствовать в жизни данного проекта — напишите мне, нужна помощь.

При обнаружении вредоносных скриптов или хитрых способов заражения, пожалуйста, черкните мне пару строк на email, я добавлю сигнатуру или детектирование в новую версию. Шеллы и трояны присылайте в .zip архиве под паролем, а то мой антивирус ругается.

Да, и еще один момент. Вы сделаете доброе дело и, скорее всего, частично почистите себе карму, если как-нибудь анонсируете данный скрипт у себя в блоге или на сайте. Можно кнопочку разместить, можно просто ссылку дать с пояснением. Вирусы и шеллы одолели уже всех. Пора их научиться во время определять и уничтожать.

Лого для размещения:

Баннер 88×31:

Спасибо!

Сдал экзамен на 4-й кю айкидо

После почти двух лет занятий сдал экзамен на 4-й кю Ки Айкидо. Это уже третий сданный экзамен. Начинается все с шо-кю через 4 месяца непрерывных занятий, затем 5-й кю — еще 4 месяца непрерывных занятий с момента сдачи шо-кю. Теперь вот на 4-й.

Вот и докУмент имеется :)

ки айкидо

Утилита для поиска дорвеев и шеллов на хостинге

Маленький и удаленький ai-bolit.php умеет

  • искать ~40 разновидностей шеллов и дамперов
  • определять зараженные index.php/index.html файлы IFRAME вирусами
  • искать дорвеи
  • искать несанкционированное размещение продажных ссылок на сайте
  • выдавать список директорий, открытых на запись скриптам

Качать скрипт здесь: ai-bolit.zip

Оставляйте отзывы, предложения, замечания в комментариях.

Может кому и из читателей topsape.ru пригодится.

Как унять барыгу?

Возникла задача унять одного барыгу, который тиражирует лицензионные ключи от одного моего программного продукта. Работает через email на @mail.ru. Обращался в саппорт @mail.ru — отправили в милицию писать заявление. Это я уже проходил — не помогает.

Какие есть идеи по поводу того, как остановить его «барыжную» активность через email?

Про релиз QPLBoard 4.5 и отстрел варезников…

Долго ли, коротко ли писалась новая версия нашего скрипта доски объявлений QPLBoard 4.5… Кхм. Долго, конечно. Почти целых полгода, и что забавно, у нас релизы почему-то под Новый Год чаще всего случаются :)

Добавили в новую версию около 70 различных улучшений (полный список можно посмотреть на сайте). Список, пожалуй, самый длинный за всю четырехлетнюю историю развития продукта. Только что сделали официальный релиз, разослали сотням клиентов. Уфф.

Из интересного про скрипт есть пара моментов:

1. как я боролся с барыгами, админами варезников и «нулленой» версией

2. как я писал новую защиту от «зануления»/взлома и обфускатор к скрипту.

Про барыг и варезников

Россия — щедрая душа. Но это потому, что в России есть потребители, а производителей мало. Как только кто-то создает мало-мальский продукт, щедрость души волшебным образом уменьшается, потому что хочется денежек за то, что сделал своими руками. И дарить вот так просто то, во что вложил свои силы, время и деньги как-то уже не хочется. Барыги и админы варезных порталов, по неведомой мне причине, не разделяют эту точку зрения, и продолжают распространять «нулленые» скрипты и варез налево и направо. В итоге, народ делится на тех, кто нарушает законодательство (в частности, закон об авторском праве) и тех, кто ищет, находит и «отстреливает» этих шалопаев.

Как только мы отказались от «зенда» и начали выкладывать скрипт в исходниках, сразу нашлись деятели, которые занулили его и выложили в открытом доступе (под зендом, кстати, три года никто не мог этого сделать, учитывая, что скрипт дезендился «в лет»). Ну а там дальше пошло-поехало. За последние три недели я нашел два десятка варезников и форумов, на которых был выложен наш скрипт в неприкрытом виде, зануленный по самое «не балуйся». Как результат — 100% удаление скрипта, причем процентов 30 варез-сайтов вообще перестали после этого работать, часть предложили поставить ссылку на наш официальный сайт взамен ссылки на архив, а отдельные «сыкуны» просто удалили страничку.

Что я делал?

1. находил через whois сервисы хостинг, на котором размещен сайт и писал хостерам в abuse@
2. писал админам сайтов

Либо первые, либо вторые реагировали в течение суток. На мое удивление, среагировали даже немецкие и украинские хостеры (да, я писал им по англ., а что?). Так что если сайт не в России, дотянуться можно.

Помогло то, что в свое время на скрипт было получено авторское свидетельство из РосПатента. Это добавляет веса к обращению в abuse@.

А еще я написал свой собственный обфускатор и сделал новую защиту для скрипта.

Я верю, что скрипт можно «зануллить», но кол-во времени, которое на это придется потратить, на мой взгляд, несоизмеримо больше выгоды, которую получит хацкер. Придумал много всяких интересных плюшек с PHP кодом, причем ни одного eval и base64_encode ))

Так что если кому нужен опыт написания обфускаторов, защиты PHP скриптов и инструкций, связанных с  защитой  авторских прав на ПО, обращайтесь. Опыт есть.