В последнее время на отечественные сайты участились DDoS-атаки и попытки взлома веб-ресурсов. Эта проблема была актуальна всегда, но в последнее время ее важность стала значительно больше. В чем причина увеличение атак, сказать сложно. Возможно, это отказ ру-коммунити от гугловских систем распознания спама, или просто повышенная активность хакеров и мошенников. Только за последний месяц на ресурсы наших клиентов было зафиксировано несколько попыток атак. Поэтому мы собрали последние данные о DDoS-атаках (и не только) и способах их предотвращения.
Проще о DDoS — что это и как проявляется
DDoS — это когда на ваш сайт резко появляется слишком много обращений одновременно, и он просто не успевает отвечать. Представьте: в магазин заходит внезапно толпа людей и продавцы не справляются — дверь закрывается и остальные остаются снаружи. Так и с сайтом: посетители видят ошибки или долгую загрузку, а иногда сайт совсем перестаёт открываться. Источники таких нагрузок могут быть разные — сотни или тысячи компьютеров и устройств, которые по команде начинают «кликать» по вашему адресу. Для обычного владельца сайта это проявляется как внезапное торможение, недоступность страниц или сообщения от хостинга, что у вас больше трафика, чем обычно. А для сис-админов серьезной проверкой на безопасность сервера.
Кого взламывают и зачем это делают
Первый вопрос, который приходит в голову человеку, не сильно погруженному в эту тему, - зачем это вообще делают? Взламывают и атакуют самые разные сайты: большие и маленькие. Чаще в поле внимания попадают сайты магазинов, сайты с платными услугами, новостные и государственные порталы — потому что у них много посетителей и особенно чувствительна простая остановка работы. Иногда злоумышленники пытаются вымогать деньги, угрожая продолжать атаки; иногда хотят отвлечь админов, чтобы в этот момент делать другие мошеннические действия; иногда это просто хулиганство или проверка собственных «умений». Для владельца сайта это может обернуться потерей клиентов и деньгами из-за простоя. А худших случаях - блокировкой Роскомнадзора (если на сайте за счет злоумышленников появился новый контент, нарушающий правила)
Кроме DDoS есть и обычный взлом сайта — когда злоумышленник получает доступ к админке или файлам. Чаще всего это происходит по двум простым причинам: система управления сайтом устарела и давно не обновлялась, или кто-то украл пароль. Устаревшая система — это как старая дверь с немощным замком: в неё легче попасть. Украденный пароль — когда кто-то получил ваш пароль: в фишинговом письме, в базе другой взломанной службы или просто использовал пароль, который вы применяется многими пользователями везде. Как правило, злоумышленник заходит в админку, может поменять страницы, вставить код, чтобы перенаправлять посетителей, или выложить наверх рекламу и мошеннические предложения.
Меры предосторожности
Если вы не технический специалист, есть ряд действий, которые всё равно будут полезны и повысят безопасность. Первое — проверьте, у какого провайдера хостится ваш сайт, и есть ли у него служба поддержки, которая помогает при атаках и взломах. Обсудите заранее, какие они предлагают меры защиты и как будут действовать в экстренной ситуации. Например, хранится ли где-то ещё копия сайта. Второе — следите за обновлениями: попросите того, кто вам поддерживает сайт, регулярно обновлять систему управления и плагины — это отключает большинство простых дыр.
Если вы обнаружили, что пароль украли или подозреваете, что кто-то получил доступ, действуйте быстро и спокойно. Сначала поменяйте пароль от админки и сделайте его сложным: чем длиннее и менее похож на личные даты, тем лучше. Если есть возможность, включите дополнительную проверку при входе (двухфакторную аутентификацию), чтобы при попытке входа с чужого компьютера требовался ещё код. Сообщите хостингу и вашему техническому специалисту, опишите, что произошло — они могут временно отключить доступ или вернуть сайт из резервной копии. Если у вас есть свежая резервная копия, восстановление часто решает проблему быстрее и чище, чем правка вручную. Проверьте электронную почту и другие сервисы: если там был тот же пароль, поменяйте и их — часто злоумышленники используют одну и ту же пару логин-пароль в нескольких местах.
Также важно проверить компьютер или устройство, с которого вы входите: может быть, пароль украли через вирус или фишинг-сообщение. Просканируйте устройство антивирусом, не открывайте подозрительные письма и не переходите по неизвестным ссылкам. После инцидента стоит проверить журнал изменений на сайте и, если нужно, привлечь специалистов, чтобы найти и убрать возможный вредоносный код.
Проще говоря: меняем пароль, ставим дополнительную проверку входа, связываемся с хостингом, восстанавливаем сайт из копии при необходимости и проверяем устройство, с которого работаем.
Как снизить риски заранее
Не храните одинаковые пароли везде. Используйте сложные комбинации и меняйте их время от времени. Держите резервные копии сайта в надёжном месте — это как страховка: если что-то пойдёт не так, восстановить работу проще и быстрее. Попросите, чтобы ваша обслуживающая компания или хостинг регулярно проверяли систему и ставили обновления. Наконец, договоритесь с хостингом о плане действий на случай атаки или взлома — знать, кто и что будет делать в экстренной ситуации, помогает быстро вернуть сайт в строй и уменьшить убытки. Как это не банально - не посещайте сомнительные ресурсы, особенно, когда сам браузер выдает вам предупреждение
DDoS и взлом — неприятные вещи, но они не фатальны. Немного внимания к паролям, регулярные обновления и пара простых шагов по подготовке значительно повышают шансы быстро справиться с проблемой и сохранить ваш сайт в рабочем состоянии. Если хотите, могу кратко сформулировать простую памятку для вас: что делать при подозрении на взлом, какие вопросы задать хостинг-поддержке и какие пароли поменять в первую очередь.