Уже несколько месяцев подряд хакеры пытаются взломать сайт Fixclan.RU, медленно перебирая все известные и неизвестные методы определения используемой системы управления (CMS). Однако сегодня, в 15 часов по московскому времени, бот начал усиленный поиск вредоносных скриптов, и файлов управления сайтом, такие как: adminer, pma и прочие.
Я, как вебмастер, прекрасно знаю эти скрипты, и их не использую в своей работе, так как они являются серьезными "дырами" в безопасности, через которые могут заливаться не только вымогатели, или рекламные баннеры, а более серьезные коды получения root доступа хостера.
После долгого анализа всех подозрительных запросов заметил, что большинство атак происходят с зарубежных облачных сервисов и провайдеров, таких как:
- DigitalOcean, LLC (американский провайдер облачных технологий);
- Google LLC, Cloud (службы облачных технологий);
- Arsys (испанский хостинг);
- HOSTINGER (хостинг провайдер и регистратор домена, подразделение в США и Германии);
- Serverfreak Technologies Sdn Bhd (хостинг провайдер, Малайзия);
- Internet Vikings International AB (хостинг провайдер, Швеция).
Сотовые операторы не были обделены вниманием хакеров:
- MEGAFON-GDC (сотовый оператор, Россия);
- BEELINE-MSK-GPRS-FW (сотовый оператор, Россия);
- TRK Cable TV LLC (интернет провайдер, Украина);
- Kyivstar PJSC (сотовый оператор, Украина).
Я примерно представляю откуда идут атаки, с использованием прокси и ботов, но называть это место не буду, по определенным причинам.
Зачем взламывать малоизвестный сайт, такой как Fixclan? Тут всё просто:
- получение очередного прокси, для последующей брут- или ddos атаки крупных ресурсов;
- попытка дойти до root доступа хостера (с такой же целью);
- установка кода принудительной закачки вредоносного приложения в мобильные устройства;
- рекламный баннер или вымогатель.
Для владельцев сайтов рекомендую провести следующее:
- аудит, наличие и удаление лишних скриптов (adminer.php, pma.php и прочих), которых не должно быть в системе управления;
- проверить фильтрацию поступающих данных методом get/post/session/cookie, и их фильтрацию перед запросом в базу данных;
- изменить доступы и ссылки входа в административную панель сайта;
- запретить доступ через htacсess с пула американских и европейских компаний (облачных сервисов и провайдеров);
- постоянно мониторить все запросы на сайт;
- установить ddos защиту (хотя бы в isp панели хостинга);
- найти альтернативу используемому популярному wordpress, или joomla (в них много уязвимостей).
Замечу, что сегодняшние вирусы, загруженные на сайт, уже не определяются большинством антивирусов, поэтому стоит продумать способ постоянного мониторинга контрольных сумм файлов и их списка, и размеров.
