Как перехватили мой сайт используя данные whois

Что-то хакеры в последнее время не на шутку активизировались. Промышляют разными методами да и сами мы не всегда отдаем себе отчет в значимости вопросов безопасности.

http-domen

Есть у меня один домен, на нем еще год назад был сделан сайт, который в свою очередь был залит на хостинг моего партнера.

Сайт это содержал несколько страниц, был сделан на движке вордпрес и имел чисто тестовую ценность.

Этот хостинг был у партнера в связи с одним проектом, но в итоге владельцы на него забили из-за своей занятости по основной работе.

Далее ситуация развивалась следующим образом:

  1. Хостинг партнера, когда пришло время он не продлил из-за не надобности
  2. Мне об этом не сообщил
  3. Я на сайт не заходил из-за не надобности 4-6 месяцев
  4. Как следствие о том, что хостинг уже не работает, не знал
  5. Не сменил у своего регистратора ns-сервера на стандартные, которые предоставляет регистратор

Я никогда не задумывался о том, что могут произойти те события, который я описываю ниже. Хотя и не первый день в IT сфере, но как-то так получилось, что не слышал о таких схемах и не читал нигде. Именно поэтому спешу поделиться своим опытом, возможно кому-то это поможет обезопасить свое имя и имидж своих сайтов от нападок злоумышленников (хакеров).

Как злоумышленник использовал это в своих интересах?

Хакер в Питере

Нашелся грамотный (без иронии) человек, и как я предполагаю сделал следующее:

  1. Каким-то образом узнал о моем домене, например у него робот который обходит домены по списку на предмет изучения работоспособности.
  2. Далее, поскольку хостинг не работал – сайт показывался как не рабочий.
  3. Потом человек посмотрел по whois где располагается хостинг этого доменного имени, и..
  4. Создал на этом хостинге аккаунт:
  • оплатил его
  • создал на нем базу данных (что бы повесит туда форум)
  • и залил файлы СВОЕГО сайта на СВОЙ хостинг, при этом доменное имя оформлено на МЕНЯ! )))

Не зря говорят, все гениальное просто.

Я свою ошибку признаю, упустил важный момент, да и хостинг чужой использовал. Выводы для себя я уже сделал и все понял. Однако мне повезло, у меня есть скрипт который стягивает посещаемость всех моих проектов на одну HTML страницу, сегодня просматривая статистику по проектам увидел 1 уникального посетителя на сайте “жертве” перешел на свой ресурс и ужаснулся. Первый вопрос: как хакер смог перехватить управление чужим доменом, если управлять нечем?

Хорошо, что сразу дошло как это было сделано и я не успел написать гневное письмо в поддержку хостинга )

Сайт (форум), злоумышленник сделал как елку с гирляндами, только ссылками украсил, а если по ним перейти то сразу антивирус ругается. Осадок остался..

А хакеру этому респект – жизнь учит, как бы мы еще опыта набирались ) .

На данный момент управление доменом опять у меня, хакер наверное сидит и плачет или же опять мониторит наши сайты ) …

1 случай взлома сайта строительной тематики партнеров

На прошлой неделе ко мне обратились партнеры (не будем называть имен).

Обратились с вопросом: хакеры взломали сайт, что делать?

Первое, что  интересует – каким образом это проявилось? Оказывается обнаружился факт взлома сайта, после появившегося предупреждения на сайте поисковика Яндекс. Т.е. по запросу: “Бренд компании” сайт появлялся в выдаче, но с пометкой:

“Сайт может угрожать безопасности вашего компьютера”

После нажатия на ссылку: “почему?”  Выяснилось, что на сайт поставлен редирект (перенаправление)для мобильных устройств при попадание на сайт через поисковые системы.

Чем это опасно:

  • Владелец сайта может долгое время не знать о факте взлома, поскольку может не заходить на сайт через ПС с помощью мобильных устройств. (Был у меня случай, когда аналогичную схему использовали при взломе моего проекта на Джумла, отличие в том, что тогда использовали редирект с моего сайта на сайты злоумышленников когда человек приходил из ПС со всех абсолютно устройств на мой сайт он благополучно перенаправлялся на сайт хакера). Как правило владельцы и администраторы заходят на сайт через строку броузера, минуя ПС. На это и рассчитывают злоумышленники. Тем самым пропадает драгоценное время, и если этот процесс затянуть, санкции за это от поисковых систем могут быть крайне не благоприятными.
  • Потеря трафика – люди банально не переходят по ссылкам с пометкой: “Сайт может угрожать безопасности вашего компьютера”, исключением будет случай, когда пользователь уверен в сайте. Как следствие это сильно воздействует на количество пользователей перешедших на сайт с поисковых систем, далеко не в лучшую сторону.
  • Потеря доверия – клиентов и партнеров. Чем это чревато, можно долго рассказывать.
  • Потеря контроля над ситуацией. Люди могут годами не знать о том, что работают на конкурентов. Например ваш сайт взломали и разместили на нужных страницах, необходимые злоумышленникам исходящие ссылки. Это могут быть как ссылки на сайт конкурента, так и на ресурс находящийся в бане ПС, что так же работает против сайта донора. Вся соль в том, что этот факт может обнаружить, как правило, только опытный вебмастер. Который постоянно занимается мониторингом сайта и его показателями.
  • Бан (санкции) от поисковых систем – самое страшное из списка! Сразу пропадает основной потенциал сайта как коммерческой структуры. Восстановить доверие поисковых систем чрезвычайно сложно, и если этого не сделать о части бесплатного трафика можно забыть или заниматься сразу разработкой нового проекта )

Что было дальше…

Дальше выяснились детали:

  1. Сайт находился на движке Джумла 1.5 (сто лет не обновляли).
  2. Сайт был взломан через свою же базу данных на хостинге. (SQL инъекция)
  3. Были чистые копии базы данных и файлов сайта.

Что предпринималось:

1. Поменялись пароли везде где только можно:

  • почта
  • хостинг
  • базы данных
  • панели администратора сайта

2.  Заново залили на хостинг:

  • базу данных
  • файлы сайта (через FTP)

3. Отписались в Яндекс о проделанной работе (письмо в поддержку о случившемся).

Результат:

  1. На следующий день – сайт в выдаче Яндекса уже был без подозрительных пометок. (Чистая выдача).
  2. Редирект пропал и пока больше не появляется )
  3. Партнеры довольны )

Мою рекомендацию партнеры отмели. Звучала она так:

Что бы обезопасить сайт от будущих взломов хотя бы от части, необходимо закрыть административную панель сайта по IP, т.е. попасть в админ. панель Джумлы можно будет только с одного IP адреса. Для них это оказалось не преемлимо поскольку они работают ото всюду где доберутся до компьютеров )

p.s. Описанный выше случай взлома моего сайта был в те далекие времена, когда я еще недооценивал СИЛУ БЭКАПА.

И тогда, я прилично помучился,! Пришлось в ручную все искать и удалять, но через некоторое время он опять появлялся. Зараза, долго я с этим вирусом возился. Все закончилось переносом того сайт на статичный вариант (без использования базы данных). А БД удалил тогда и кошмар закончился.

Мораль:  думайте о безопасности заранее, всегда имейте рабочий бэкап сайта (с БД), тогда и биться с хакерами проще будет.

В ближайшее время постараюсь подготовить для вас статью: как защитить и обезопасить свой интернет-проект от атак злоумышленников.

Безопасности вашему бизнесу!

Шпионаж в интернете или что нужно хакеру от нас?

Шпионаж – дело хитрое, трудное и не многим подвластное. Если говорить о шпионаже в интернете, так это старое явление. Появилось приблизительно во времена появления самого интернета. На сегодняшний день интернет становится ареной где проходят битвы титанов, здесь и игры корпораций и сложные комбинации спец. служб. Последние события происходящие с Эдвардом Сноуденом вообще показывают насколько важен этот вопрос для «Сильных мира сего».

Шпионаж в интернете

Действительность такова – каждый, кто хоть как-то проявляет активность в сети, оставляет за собой следы. Не волнуйтесь, если вы чисты перед законом ничем это страшным, кроме кражи личных данных хакерами вам не грозит.

 

Какие личные данные важны для грабителей нового поколения?

Вопрос сложный, но постараемся перечислить возможные варианты.

  • Данные банковских карт
  • Данные связанные с предпринимательской деятельностью в интернете
  • Номера телефонов и другие средства связи (для «сложных разводок»)
  • Данные для входа в аккаунты платежных систем
  • Данные для входа в системы электронных аукционов
  • Данные интимного характера (например личная переписка)
  • Удаленный доступ к web-камере (с целью продажи доступа)
  • Пароли почтовых сервисов

 

Что можно ждать от атаки интернет-шпионов на коммерческие структуры?

Для большинства крупных компаний вопрос потери или порчи данных равен, вопросу выживания в самый трудный момент. Рассмотрим страхи крупных компаний перед лицом современного преступника:

  • Частичная или полная потеря баз данных относящихся к финансовым, юридическим, логистическим и другим структурам
  • Внедрение не обнаруживаемого вируса-шпиона на общий сервер компании с целью сбора и анализа информации конкурирующими компаниями
  • Незначительное изменение или искажение информации содержащейся в базах данных с целью устройства сбоев в процессе работы компании
  • Хакерские атаки на сайт компании (использование сервера компании для организации атаки на другие ресурсы)
  • Сбор компрометирующей информации с целью передачи информации органам власти
  • Кража другого рода данных (например, переписка сотрудников)

Хакер за работой

Теперь мы знаем в общих чертах о том, что грозит жертвам интернет – шпионажа, будь то физическое или юридическое лицо все равны перед интеллектом неизвестного «призрака сети», который с помощью доступа в интернет и компьютера может обобрать современного человека до нитки.