Главная Новости

Как у меня взломали сайт


Опубликовано: 02.09.2018

видео Как у меня взломали сайт

Как у меня взломали аккаунт на OLX

Недавно со мной приключилась занятная история, про которую хочу рассказать – вдруг кому-то будет полезно. Дело в том, что на одном из моих сайтов на WordPress какой-то злоумышленник установил левые скрипты и прочий свой хлам. Но, обо все по порядку.



История взлома сайта – начало

Как-то в августе при заходе на сайт вместо главной страницы появился просто черный экран с таким вот чудом:

Я первым делом подключился к серверу по FTP и полез смотреть папку сайта. Там на первый взгляд не было ничего странного, в админку сайта можно было тоже зайти… Вот только вместо самого сайта по любой ссылке появлялась эта картинка.


МОЙ АККАУНТ В РОБЛОКС ВЗЛОМАЛИ :( НУБАШИ БОЛЬШЕ НЕ БУДЕТ в ROBLOX ???

Потом я решил проверить файл index.php, с которого и начинается, в принципе, загрузка сайта. Размер этого файла оказался в несколько раз больше, чем у обычного. Открываю его в блокноте, и вижу все его содержимое:


КАК МЕНЯ ВЗЛОМАЛИ? [О ФИШИНГЕ]

Да, это он выводил свою ерунду вместо того, что должно было выводиться. Недолго думая, я заменил index.php на нормальную версию, и сайт снова приобрел прежний вид. На этом я успокоился — лихо решил проблему, чего бы не порадоваться. Оказалось, что радоваться было рано.

История взлома сайта – продолжение

Буквально недели через две при заходе на сайт обнаружилось то же черное явление, только картинка была другая:

Ну, я уже знаю, что делать, подумал я, и сразу полез смотреть файл index.php. Как и следовало ожидать, он оказался заменен на другой. Содержимое показывать не буду, не в этом суть. Меняю его снова на оригинал, и сайт снова работает.

Но встает вопрос – как злоумышленник меняет этот файл? Из админки его просто так не поменяешь, значит, он имеет доступ к хостингу или может подключаться по FTP. На всякий случай меняю пароли на хостинге.

Потом я подумал – может, он просто проник в админку сайта, поставил какой-нибудь плагин или добавил какие-нибудь свои страницы, и может видеть папки сайта без подключения по FTP? Посмотрев в плагины, вижу такую штуку:

Да, он всего-навсего зашел в админку, установил этот свой плагин, и теперь может лазить по папкам сайта, что-то там загружать, удалять… Если бы он не выпендрился и не сменил главную страницу, я бы не скоро догадался, что сайтом пользуется кто-то другой.

Ладно, подумал я, надо почитать про этот плагин. Но найти удалось мало чего, кроме советов по глобальной замене всего движка сайта, плагинов, темы – злоумышленник мог спрятать свои файлы среди них или добавить свой код прямо в любой исполняемый файл – тех же плагинов, темы.

Пришлось присмотреться получше к папкам, и тогда я нашел еще кучу всего. Я нашел архивы zip, со всякой ерундой, которые злоумышленник загружал через свой плагин. Также я нашел уже папки из этих архивов. Вот пример содержимого одной такой папки:

Для чего это все, я пока не разобрался. Понял только, что эта ерунда как-то рассылала письма, а еще принимала оплату на PayPal, там все для этого есть. Возможно, этот паразит занимался вымогательством, ломая сайты. Кстати, в спаме обнаружились левые письма с сайта, которые рассылались несколько дней просто огромными партиями – приходили по несколько раз в минуту. Содержали они техническую информацию, возможно, для самого взломщика.

Что я делал

Конечно, первым делом я вычистил весь посторонний хлам, какой смог найти. Потом поменял пароль в админке, и поставил плагин Protected-WP-Login, который вообще меняет адрес страницы входа в админку на другой, и делает нерабочим прежний адрес.

Потом я удалил все файлы WordPress, потому как их очень много, и найти что-то постороннее в них просто нереально. Заменил их полностью. Если что-то было в папках и файлах движка, то удалилось.

Заменил и все остальное – тему, плагины. В общем, поставил все чистое, где мог. Теперь посмотрим, появится ли этот паразит снова или нет. Сайт – сложная штука, и он все-таки мог что-то где-то глубоко закопать для резервного доступа. Какой-нибудь простейший скрипт, например, который при запуске просто высылает письмо с данными входа. Остается наблюдать и контролировать работу сайта.

Все еще думаете, что Ваши сайты никому не нужны, тем более хакерам? Верите в поговорку – «у меня там красть нечего»? А если и нечего, что мешает заставить Ваш сайт делать те же рассылки? По голове получите Вы, и сайт за спам заблокируют Ваш, в конце концов. Ну, или как-то так. Рассказывайте свои истории взлома, это интересно.

rss