• Взломали сайт. Последовательность действий?

    @mirzok
    Information Security
    Кроме комплексного аудита, как посоветовали выше, советую регулярный мониторинг безопасности. Грубо говоря, сервис, который раз в неделю проверяет, что у вас нет дыр в старом коде и не появился новый код с уязвимостями. Это умеют делать многие сканеры, например, metascan или detectify.
    Ответ написан
    Комментировать
  • Насколько легко взломать сайт на Wordpress?

    @mirzok
    Information Security
    Выше всё верно пояснили про Wordpress, его плагины и темы. Могу ещё добавить, что при недостаточных ресурсах на хостинге или нежелании покупать на полноценное использование плагины по безопасности можно проверить сайт снаружи, т.н. black box, чем-то специфическим, специально для WP. Навскидку, это:
    - https://wprecon.com
    - https://metascan.ru
    - https://hackertarget.com/wordpress-security-scan/
    Ответ написан
    Комментировать
  • Сайт пытаются взломать. Что делать?

    @mirzok
    Information Security
    Поддерживаю насчёт бэкапа - это раз.
    Есть всё это произошло практически одномоментно, то стоит воспринимать это как целевую атаку, а не случайность, и защитить себя от фишинга - это два.
    Третье - если нет уверенности в том, что в сайте нет дыр, то не ждать пока взломают, а просканироваться acunetix.com, metascan.ru, pentest-tools.com снаружи для проверки инъекций и так далее.

    Насчёт уличить - увы, тут либо иб-криминалистов привлекать, либо думать кому вы насолили.
    Ответ написан
    Комментировать
  • Как вылечить сайт на wordpress?

    @mirzok
    Information Security
    В файлах вирус мог обосноваться очень глубоко. Если проверили всё руками и точно уверены, что его там нет, то можно посмотреть на другие вектора внедрения (хотя я бы всё же попросил специалиста глянуть код).
    Другие вектора:
    - логины/пароли от FTP - вы могли переехать на новый сайт, но если ваш комп заражён и злоумышленники знают, куда вы заходите и что вводите, но и новые пароли они перехватят автоматически.
    - дыры в компонентах сайта - возможно, это целевая атака, кто-то специально вас ломает. Тогда проверьтесь через Acunetix, Metascan, Detectify, чтобы найти возможные дыры для заливки шелла, внедрения SQL-инъекций и так далее.
    Ответ написан
    Комментировать
  • Как могли взломать сайт?

    @mirzok
    Information Security
    Самые частые варианты:
    1. Украдены логин/пароль из FTP-клиента/из браузера, затем прямой доступ использовали для изменения кода
    2. Заливка шелла на сайт через формы с недостаточной фильтрацией
    3. Заражённый модуль/обновление
    4. Другие уязвимости сайта (например, SQL-инъекция)
    Ответ написан
    Комментировать
  • Как проверить не взломан ли роутер?

    @mirzok
    Information Security
    Есть такая программа: Router Scan, она как раз позволяет сканировать IP роутеров и пробовать их взломать, используя известные уязвимости и дыры в безопасности.

    Как ни странно, многие роутеры ломаются подобным образом. После чего их используют как бесплатные VPN-сервера и прокси серверы, например, или даже подменяют DNS-сервера на свои (так можно подменить адреса известных сайтов).

    В общем, крайне советую проверить этой программой.
    Ответ написан
  • Сканирование портов с помощью Nmap?

    @mirzok
    Information Security
    Из описания непонятно, какая сетевая схема. Возможно, вы выключаете порт, через который коммутатор соединен с сервером, но при этом на самом коммутаторе открыт 22 порт.
    Пришлите более подробную техническую информацию, будет понятнее.
    Ответ написан
  • Как исцелить сайт от sql инъекции?

    @mirzok
    Information Security
    Manul уже неактуален, к сожалению, Яндекс прекратил поддержку. Айболит поможет вылечить сам код, но может не найти дыру в сайте, через которую тебя заразили редиректом.
    sql-инъекции можешь найти с помощью detectify.com/metascan.ru/sqlmap, затем нужно их устранить в самом коде, иначе хакеры опять тебе внедрят :)
    Ответ написан
    Комментировать
  • Что означают данные атаки на сайт?

    @mirzok
    Information Security
    Скорее всего, пытаются автоматизированными инструментами найти уязвимость в вашем коде, чтобы получить доступ к сайту. Это действительно скорее ботнет, чем какой-то конкретный хулиган.

    Что делать?
    1. Обновить движок, плагины
    2. Сделать сканирование безопасности Битрикса встроенным аудитором
    2. Обратить внимание на запросы, которые появляются, проверить что эти файлы не повреждены/не заражены (на всякий случай)
    3. Проверить самостоятельно возможные дыры, если этот код самописный: используя sqlmap или detectify.com/metascan.ru/другой онлайн сканер безопасности
    Ответ написан
    Комментировать
  • Как узнать все поддомены определенного домена?

    @mirzok
    Information Security
    Во-первых, попробуй погуглить их с помощью расширенного синтаксиса Google: inurl:domen.com
    Второе - просканируй сайт онлайн-инструментами, например https://metascan.ru, https://dnsdumpster.com/, https://censys.io/
    Третье - есть специальные утилиты для подбора, которые можешь запустить сам: SubBrute, Knock, Dnsrecon, Gobuster.
    Ответ написан
    Комментировать
  • Тестирование и анализ безопасности сети, какие есть инструменты?

    @mirzok
    Information Security
    Самостоятельно можете запустить w3af, arachni, zap, sqlmap.
    Если хотите готовые и красивые отчёты, то лучше онлайн-инструменты вроде acunetix, detectify, metascan.
    Ответ написан
    Комментировать
  • Как могут взломать базу данных MySQL?

    @mirzok
    Information Security
    Взломать могут через web-приложение, найдя SQL-инъекцию в коде. Это часто бывает в самописных CMS на PHP, где пренебрегают использованием синтаксиса параметров для запроса и делают простое сложение строк.

    Есть подозрение, что взломали? Проверьте свой код, проверьте своё приложение. Для этого каждый URL, где есть какие-либо параметры, прогоните через sqlmap - специальная программа для поиска таких уязвимостей. Если не поможет или слишком долго, то попробуйте онлайн сканерами вроде metascan.ru и detectify.com.

    И самое банальное - меняйте пароли доступа и делайте ограничение на вход по порту 3306 (mysql), если есть такая возможность.
    Ответ написан
    Комментировать
  • Как вылечить взломанный WordPress?

    @mirzok
    Information Security
    Уверены, что проблема именно в Wordpress, злоумышленники никак больше не могли к вам попасть? Например, украв учётки к MySQL или FTP - смените пароли, если есть возможность.

    Предполагаю, что прав на админские действия нет из-за изменений в базе: откатитесь к бэкапу или просмотрите вручную подозрительные записи. Не лишним будет посмотреть историю запросов к MySQL, если есть возможность на хостинге.

    С файлами всё логично сделали, ещё разрешения лишние на запись и исполнение советую убрать.

    Если не получится ничего найти внутри, то проверьте сайт снаружи на дыры с помощью https://metascan.ru, https://detectify.com или https://acunetix.com. Это онлайн-сканеры безопасности, они выдадут вам более подробные отчёты о дырах в безопасности, чем rescan.

    Да, и проблема не в домене, как писали выше, домен попал в черный список из-за установленного редиректа, что логично.
    Ответ написан
    2 комментария
  • Как найти уязвимость в CMS?

    @mirzok
    Information Security
    Если разбираешься в коде, то изучить возможные дыры, проанализировав запросы, через которые взломали.
    Если не разбираешься в коде, то попробовать натравить инструменты для поиска веб-уязвимостей, например:
    - arachni
    - w3af
    Если нет возможности самому установить и разобраться, то можно воспользоваться онлайн-сканерами безопасности:
    - METASCAN
    - Detectify
    Ответ написан
    Комментировать
  • Почему раз в месяц из таблицы БД могут удаляться строки? Как найти дыру?

    @mirzok
    Information Security
    Первое - это проанализировать логи. Возможно, увидишь запросы, через которые некие злоумышленники пытаются тебя взломать, а результатов является удаление данных. По журналированию запросов выше также дали хороший совет.

    Так как проект самописный, то его необходимо обязательно проверять на уязвимости. Как минимум, сканером кода вроде AI-Bolit, и на дыры снаружи с помощью онлайн-инструментов вроде detectify.com, metascan.ru.

    Ограничить, конечно же, права на удаление. И сменить на всякий случай доступы, вдруг кто-то периодически заходит к тебе и удаляет данные? ;)
    Ответ написан
    Комментировать
  • Есть ли система, которая помогает выявить источник взлома (помимо стандартных логов)?

    @mirzok
    Information Security
    Система такая есть - это Auditd. Но, кажется, тебе нужно выявить первопричину этих событий, index0h правильно расписал про поиск дыр. Сделать это можно как с помощью онлайн-сканеров безопасности вроде Pentest-tools, METASCAN, так и самому руками с помощью популярных утилит из того же Kali Linux. :)
    Ответ написан
    Комментировать
  • Стоит ли делать зеркало сайта для нижеуказанных целей?

    @mirzok
    Information Security
    Решение не совсем разумно, потому что потенциально могут взломать и основной сайт, и зеркало. Во-первых, хорошо бы разобраться, как сайт взломали, в чем причина и что из этого можно извлечь.

    Если проблема в веб-безопасности из-за самописного кода: сделать аудит, исправить дыры, просканировать (acunetix/metascan/detectify). Поставить WAF, если нет ресурсов на исправление.

    Если проникли через что-то ещё (допустим, забытые порты на VPS), то закрыть их от всех с помощью CDN. В крайнем случае, переехать на другой хостинг.

    И если поднимать копию, то уж так, чтобы редирект на неё происходил незаметно для пользователя, через балансировщик. Например, такая схема:

    Cloudflare -> Балансировщик -> Сайт 1, Сайт 2

    При этом на балансере лучше не хранить ничего чувствительного, в том числе доступов к сайтам и бэкапов. Их делать лучше на отдельном сервере.
    Ответ написан
    Комментировать
  • Взлом сервера (изменение .htaccess), как найти причину?

    @mirzok
    Information Security
    Выше правильно подсказали, что вероятна заливка шелла. Но дыр может быть много разных, особенно в Wordpress и его плагинах: такие уязвимости находят и ставят взлом на поток.

    Как с этим бороться?
    1. Постоянно обновлять все плагины
    2. Сканировать периодически свои сайты на безопасность, чтобы быть в курсе новых уязвимостей. По Вордпрессу это хорошо делает сканер WPScan или онлайн-сканеры Acunetix.com/Metascan.ru
    Ответ написан
    Комментировать