Вход для клиентов и партнеров
в начало сайта
Партнерская программаОнлайн демоСкачатьКарта сайта
 

Регламент
Документация
Часто задаваемые вопросы (FAQ)
Решения типовых вопросов
Форум поддержки
Библиотека разработчика

Посмотрите демо-ролики и убедитесь в том, что "Twilight CMS" очень удобна в управлении, понятна и проста.

Бесплатно скачайте "Twilight.Basic", установите на своем компьютере и изучите систему более детально.

Если вам нужно установить "Twilight CMS" на существующий сайт или разработать новый - обращайтесь в отдел интеграции.

 

Ваше имя
Ваш Email
Вопрос
Twilight.basic
  • Узнайте больше
  • Сравните версии
  • Twilight.selection
  • Узнайте больше
  • Сравните версии
  • Twilight.evolution
  • Узнайте больше
  • Сравните версии
  •  
    Главная // Библиотека разработчика // Справочники // Книга рецептов (Cookbook) // Вопросы защиты, восстановления после сбоев (системному администратору) //

    Самооборона системы от FTP-взлома


    Проблема

    В последнее время участились случаи взломов сайтов для установки на его страницах различных вредоносных кодов. Это могут быть кликеры, накручивающие разные счетчики, коды вирусов, редиректы на другие сайты и т.п.

    Принцип

    Подобные взломы, как правило, происходят после заражения машины, с которой пользователь входил на свой сайт по FTP, каким-либо вирусом (обычно трояном). Троянец может украсть пароли из реестра и других мест, где хранятся сохраненные пароли в шифрованном или нешифрованном виде и переслать их на какой-то удаленный сервер. Также троянцы-кейлоггеры могут записывать нажатия клавиш пользователем и логи отсылать хакеру-хозяину (не напрямую, конечно, на промежуточный сервер). После этого, каким-то образом (вручную, автоматически или полуавтоматически) на сайт устанавливается вредоносный код. Чаще всего бот (нехорошая программа) просто ищет файлы index.html, default.html и т.п. и дописывает скрипты в его конец, или куда-то еще. Далее, уже в полностью автоматическом режиме код будет периодически проверяться и если владелец сайта его обнаружит и уберет - он будет восстанавливаться специальным ботом. Бот (программа) будет работать с IP из какой-нибудь Бразилии, где, кроме того что "много диких обезьян" еще и много зомби-сетей и хакеров-самоучек.

    Побочный эффект

    Google при очередном сканировании сайта обнаружив на нём что-то подобное прописывает статус "опасен" и выдает в результатах поиска предупреждение об опасности посещения данного сайта. Для бизнеса, владеющего сайтом это будет сильный удар по репутации + практически полная отсечка потока посетителей (трафика) на сайт.

    Группа риска

    Поскольку взлома сайта как такового нет, то подобным образом можно заразить любой сайт, независимо от наличия и марки системы управления сайтом. Был бы доступ по FTP.

    Способы защиты

    Использовать SFTP или любые другие подобные технологии (туннели SSH и прочее) и/или ограничения по IP. В обычных условиях виртуального хостинга это практически неосуществимо на большинстве площадок.

    Некоторые пользователи не сохраняют пароли в программах, что на наш взгляд ничего не дает. Во-первых, от кейлоггера это не убережет, а совсем даже наоборот. Во-вторых, необходимость набирать пароль каждый раз ведет либо к использованию одного пароля (причем простого для запоминания и оттого легкого в подборе) для доступа ко многим ресурсам, либо к записыванию паролей на бумажках приклеенных к монитору. И то и другое только увеличивает угрозу безопасности.

    Самооборона в "Twilight CMS"

    Система управления "Twilight CMS", начиная с версии 4.39, автоматически контролирует целостность шаблонов, которые хранятся на сервере. При любом их изменении будет произведено сканирование на предмет наличия потенциально опасных тэговых сочетаний. Это позволяет минимизировать количество ложных срабатываний. При обнаружении угрозы владельцу сайта автоматически будет отослано email оповещение о подозрительных изменениях, причем данное оповещение будет содержать только измененный код. Также, в служебном письме подробно расписано какие действия рекомендуется предпринимать, поэтому партнерам нет необходимости заранее учить клиентов что-то делать.

    Помимо почтового уведомления сообщение будет продублировано в Data/Logs/error.log.

    При первичном сканировании огромных страниц на код шаблона (более мегабайта) системе придется дополнительно потратить пару секунд. Но так как в дальнейшем повторные сканирования будут разово производиться только при изменении шаблона, то в целом это на скорость работы не влияет. А для типовых сайтов скорость анализа вообще не будет заметна, поскольку мегабайтные шаблоны (не страницы, а именно шаблоны) на сайтах - это большая редкость.

    Данная возможность включена автоматически и всегда. Для её корректной работы необходимо чтобы в preferences.xml были настроены параметры для отправки почты и сконфигурирован получатель по умолчанию. Разработчик на время создания сайта может выключить данную функцию путем активации ключа debug в preferences.xml.

    Подобной функциональности у конкурирующих систем, как обычно, пока нет. Мы, как обычно, первыми применяем сложные и  эффективные технологические решения, заботясь о наших пользователях.

    Надежность решения и ограничения в применении

    Поскольку имея FTP доступ к сайту злоумышленник автоматически получает возможность скорректировать и скрипты системы, то в принципе данная защита достаточно легко блокируется. Но подобные взломы почти никогда не производятся в ручном режиме - пораженных сайтов сотни тысяч и хакеры все это давно автоматизировали. Поскольку копаться в скриптах боты пока не научились, данная система предупреждений будет работать почти при любом несанкционированном изменении шаблонов сайта.

    Поскольку при заражении страницы система её не блокирует (на текущей стадии развития мы считаем это излишним), владелец сайта сам должен позаботиться о том, чтобы предпринять меры по устранению проблемы. Информация о проблеме отправляется при первом же обращении к сайту после изменения шаблонов.

    В 2011 году выявлена ситуация, когда внешний бот-центр заражает не только шаблоны, а вообще все html файлы подряд, найденные на хостинге. Система управления не контролирует все файлы подряд, но т.к. среди зараженных будут и шаблоны (однозначно), то система оповещения сработает. Но нужно не забывать, что проверять и чистить нужно будет все файлы.

    Что делать пострадавшему сайту

    1. Удалить троянцев со всех машин, откуда FTP пароли могли быть украдены. Если это не сделать, пароль будет украден повторно.

    2. Запретить пользоваться дуболомным Total Commander для доступа по FTP, 90% паролей крадется из его настроек.

    3. Сменить пароль на FTP. Если входов несколько - все меняйте.

    4. Пройти по всем html файлам вручную, найти и удалить включения чужеродного кода. Можно использовать резервные копии для сличения различий между файлами. Да, долго и муторно. Код может быть разным - <SCRIPT..., <IFRAME..., <OBJECT и другие блоки HTML в том числе шифрованные, поэтому эту работу должен делать HTML верстальщик или специалист с аналогичной квалификацией.

    5. Сбросить кэш сайта.

    « к списку

    версия для печати

     
    © 2003-19 Страта Технологии (создание сайтов, разработка cms), Twilight CMS in english.
    Наш адрес: Москва, пр. Маршала Жукова д.51
    Тел.: (495) 222-6436, E-mail: , карта сайта, условия использования информации о CMS
    Звоните через Skype:  

    Реклама: