Документ описывает важность защиты сайтов от взлома и вирусов, предоставляя эффективные меры безопасности и советы по предотвращению атак. Григорий Земсков, директор компании 'Ревизиум', акцентирует внимание на статистике взломов и последствиях атак, а также делится рекомендациями по улучшению информационной безопасности. Вебинар включает специальное предложение для участников на услуги по защите сайтов.

1. Простые и эффективные
меры защиты сайта от
взлома и вирусов
Григорий Земсков
22/04/2014

2. Знакомство
 Григорий Земсков – директор “Ревизиум”,
специалист по информационной безопасности,
разработчик сканера AI-BOLIT
 Компания “Ревизиум”
С 2008 услуги в области информационной
безопасности сайтов. Специализация – лечение
сайтов и защита от взлома.
 Цель данного вебинара:
- обратить внимание на проблему информационной безопасности
- рассказать о проблемах защиты сайтов и предложить варианты
решений

3. Почему важно думать о безопасности сайта
 Недостаточное внимание к проблеме
инфобезопасности. Решают проблемы по мере
поступления
 Владелец сайта недооценивает риски взлома
 Владелец сайта не подозревает о взломе (54%!)
 Низкая осведомленность об ущербе
 Превентивное решение проблем помогает
сэкономить
 Статистика по данным проекта RUWARD:
- не знали – 54%,
- решали проблему – 14%,
- знали, но ничего не делали – 25%,
- перестали заниматься сайтом – 7%.

4. Для чего хакеры взламывают сайты
 Деньги, фан и рабочий инструмент
 Деньги:
- прямой и косвенный заработок
- взлом по заказу
- заработок на распространении вредоносного ПО
 Фан/спортивный интерес (бескорыстное
хулиганство)
 Инструмент:
- распространение вредоносного ПО
- фишинг
- организация ботнета
- хранилище данных
- промежуточное звено

5. Как хакеры находят “жертв”
 Взлом по выборке:
- из поисковой выдачи (“дорки”, inurl)
- по базе каталогов
- сайты с высоким тИЦ, PR, посещаемостью
 Целевая атака на сайт, взлом по заказу
 Покупка доступов ко взломанным сайтам:
- доступы ftp
- в админки
- к хакерским шеллам

6. Чем страшен взлом. Последствия
 Распространение вирусов
 Фишинг: воровство данных (кредитных карт,
доступов к другим сайтам)
 Хищение конфиденциальных данных посетителей
 Использование сайта для атак на другие сайты
 Нарушение работоспособности сайта, удаление
сайта
 Размещение спам-ссылок
 Появление сайтов-клонов
 Рассылка спама
 Воровство трафика
 Ущерб для имиджа компании

7. Несколько слов о вирусах
 Вирус – любой вредоносный код
 Вирус может:
- заражать компьютеры и мобильные устройства
посетителей
- выполнять переадресацию (редиректы)
посетителей
 На сайте вирус – это фрагмент html кода <script>,
<iframe>, <embed>, <object> или директива сервера
 Лечение вируса – удаление этого кода, либо кода,
его инициирующего
 Вирусы не появляются сами по себе

8. Варианты взлома сайта
 Воровство FTP пароля или SSH пароля/ключей
 Подбор пароля от админ-панели сайта (брутфорс)
 Взлом через уязвимости сайта
 Взлом через хостинг:
- взлом панели управления
- взлом через уязвимые сервисы сервера
- взлом через соседние сайты

9. Как защитить сайт от взлома
 Суть защиты – сокращение степеней свободы
 Защита не бывает удобной. Поиск баланса.
 Основные элементы защиты:
- обновить cms
- каталоги и файлы – только для чтения
- блокировка выполнения .php в спец.каталогах
- доп. авторизация на админ-панель
- отключения системных функций и chmod
- sftp вместо ftp, отключить ftp
- 1 аккаунт - 1 сайт
- не хранить бэкапы и дампы в каталоге сайта
- регулярная проверка компьютера антивирусом

10. Противодействие взлому: воруют ftp пароль
 Использование sftp/scp подключения (ssh) вместо
ftp
 Включать ftp на момент работы с ним
 Авторизация по ip при работе через ftp
- в панели хостинга
- через .ftpaccess
 Не хранить пароль в ftp клиенте

11. Противодействие взлому: воруют админ пароль
 Дополнительная авторизация админ-панели:
- по ip
- по кодовому слову
- двойная авторизация через .htpasswd
 Изменение url входа
 Установка плагина наподобие login lockdown,
jSecure

12. Противодействие взлому: если сайт уязвим
 Регулярные обновления cms, установка патчей.
Закрывают обнаруженные уязвимости.
 Все системные каталоги – только для чтения.
 В каталоги загрузки, кэш-, временные – запрет
выполнения скриптов
 Отключение системных функций и chmod
 Установка на сайт web application firewall

13. Противодействие взлому: если уязвим сервер
 Сервер должен обслуживаться опытным
сисадмином:
- обновление системного ПО
- установка патчей на ядро
- безопасная настройка сервисов
- мониторинг активности
- резервное копирование
- выполнение процедуры “hardening” для всех
элементов системы

14. Противодействие взлому: плохие “соседи”
 Выбирать надежный хостинг
 Выбирать тариф с минимальным кол-вом “соседей”
 Размещаться на VDS/VPS
 Размещать на 1 аккаунте 1 сайт
 Ставить безопасные права на конфигурационные
файлы и public_html (в идеале 0400/0750) - запрет
чтения для “других”
 Не оставлять дампы/бэкапы в пользовательском
каталоге

15. Превентивные меры безопасности и защиты
 Думать о безопасности заранее: сделать аудит,
поставить защиту.
 Настроить мониторинг
- панели вебмастера Яндекса и Гугла
- Яндекс.Метрика
- он-лайн антивирусы
- включение логов (ftp/ веб / почтового / “админки”)
 Настройка резервного копирования
 Защищать сайт средствами ОС и веб-сервера, не
плагинами
 Регулярное сканирование на вредоносный код.
Сканер AI-BOLIT
 Проактивная защита
 Контроль целостности

16. Техника безопасности при работе с сайтом
 Не доверять и проверять:
- каждому администратору свой аккаунт
- удалять аккаунт после завершения работы
фрилансера
- регулярная смена паролей у штатных админов
 Регулярная смена паролей от хостинга, ftp
аккаунтов, почтовых ящиков
 Проверка антивирусом всех рабочих компьютеров
 Не хранить пароли в рабочих программах (ftp
клиентах)
 sftp/scp вместо ftp

17. Что делать, если сайт взломали?
 Закрыть доступ к сайту для посетителей
 Проверить рабочие компьютеры антивирусом
 Сменить все пароли (от хостинг-панели, от ftp
иsftp/ssh/scp)
 Запросить в тех поддержке хостинга логи веб-
сервера, ftp сервера за максимально доступный
период
 Сделать резервную копию текущей версии сайта
 Зафиксировать дату/время обнаружения проблемы
 Восстановить сайт из резервной копии
 Просканировать сайт на вредоносный код,
вылечить, установить защиту, либо обратиться к
специалистам

18. Типичные уязвимые компоненты cms
 Wordpress
- timthumb.php (в темах и плагинах), memcached
(если не отключены комментарии и включены
динамич. сниппеты), открытая админ-панель (через
редакт. шаблонов)
 Joomla
- com_jce, nonumberframework, tinymce, fckeditor
 Другие
- fckeditor, tinymce, tellafriend, phpinfo, cURL
библиотека
 Где проверять компоненты
- exploit-db.com, 1337day.com, forum.antichat.ru,
rdot.org

19. Проблемы с хостингом
 Первым делом – обвиняют хостинг
 Не надеяться на хостинг:
- проблемы с резервными копиями и логами
- халатность администраторов
- технические сбои
- старые версии ПО, безграмотная политика
безопасности
 Доверять крупным и долгожителям

20. Популярные заблуждения владельцев сайтов
 Вариант 1: Мы удалили вирус с сайта, Яндекс (Гугл, Касперский) перестал
«ругаться», нам бы теперь только защиту поставить и все.
Вариант 2: Яндекс (Гугл, Касперский) показывал сайт «вредоносным»
в поисковой выдаче, а сейчас все в порядке. Значит, сайт не нужно лечить.
 Вариант 1: Я проверил архив сайта антивирусом Касперского, Dr. Web, но они
не нашли вирусов на сайте. Значит хакерских шеллов на сайте нет.
Вариант 2: При копировании сайта на компьютер Касперский удалил
несколько файлов с вирусом. Значит сайт у меня сейчас чистый.
 У меня постоянно запущен антивирус, вирусов на компьютере быть не должно
и пароли украсть не могли.
 Я почистил сайт от вредоносного кода, теперь сайт не заразится.
 Вариант 1: На админ-панель стоит сложный и длинный пароль, значит сайт
в безопасности.
Вариант 2: У меня установлен «супер-пупер-плагин-безопасности», значит
админ-панель защищена.
 Вариант 1: Я сделал все файлы скриптов и шаблонов, а также часть каталогов
доступными «только для чтения». Теперь хакеры не смогут ничего изменить.
Вариант 2: Я поставил на файл .htaccess атрибут «только для чтения» и сменил
у файла владельца на root. Теперь хакеры не смогут добавить вредоносный
редирект в .htaccess.

21. Благодарю за внимание!
 Контактная информация
Григорий Земсков, компания “Ревизиум”
revisium.com , email: audit@revisium.com,
skype: greg_zemskov
 Следуйте за нами!
www.vk.com/siteprotect - группа ВК “Безопасность сайтов”
twitter.com/revisium - наш Твиттер
facebook.com/Revisium - страница в Facebook
www.revisium.com/ru/blog/ - наш блог (rss подписка)
 Специальное предложение для слушателей
вебинара >>>

22. Спецпредложение
 Первым 20 обратившимся слушателям вебинара мы
предоставим скидку 20% на услугу защиты сайта от
вирусов и взлома.
Ваш сайт станет неуязвимым для вирусов и
неприступным для хакеров.
Напишите на audit@revisium.com , указав в
обращении промо-код: SKILLFACTORY04

23. Вопросы
А теперь ваши вопросы.