Атаки на WordPress: как хакеры используют взломанные WP-сайты

Мы часто разговаривали с владельцами сайтов, которые были весьма удивлены, что их сайты становились целью атак со стороны злоумышленников. Большинство из них исходили из предположения, что если на сайте нет ценных данных для кражи, таких как номера кредитных карт, то взлом сайта будет являться бесполезным трудом. К сожалению, они оказывались неправы. Злоумышленники могут получать доход с посетителей взломанных сайтов самыми разными способами, не только при помощи кражи данных. Веб-сервер может использоваться для выполнения вредоносных программ и размещения различного контента.

В прошлом месяце мы провели исследование, которое включало в себя следующий вопрос для людей, отметивших, что их сайт был взломан:

«Что хакеры сделали с вашим сайтом?»

attacksite

Мы получили в общей сложности 873 ответа, которые были каталогизированы нами, как показано на графике ниже. Многие из ответов подпадали под разные категории.

Мы не стали размещать такие ответы, как «установили бэкдор» или «установили вредоносное ПО». Это может быть сделано с разными целями. Вместо этого мы решили узнать, как именно злоумышленники использовали взломанный сайт.

Как видно из диаграммы, злоумышленники выполняют самые разные вещи с взломанными WordPress-сайтами. Давайте рассмотрим каждый из этих вариантов, чтобы лучше понять, как противостоять взломщикам.

Дефейс сайта / вывод сайта из строя

В некоторых случаях хакеры заменяют ваш контент своим собственным. Чаще всего этим промышляют террористические группы, публикуя свои политические заявления на взломанных ресурсах. Еще одним распространенным случаем является простое хвастовство со стороны хакеров – они гордятся тем, что взломали ваш сайт. Во всех этих случаях нападающий не делает совершенно ничего, чтобы скрыть последствия взлома – любой посетитель сайта сразу же поймет, что ресурс был взломан.

В других случаях нападающие просто выводят ваш сайт из строя. Исходя из нашей практики, в большинстве случаев злоумышленник просто допускает какую-либо ошибку и случайно «вырубает» сайт.

Пример дефейса:

deface

Чем это полезно для нападающих?

Для тех, кто взламывает ваш сайт и публикует на нем свою политическую пропаганду, ваша площадка – это просто способ бесплатно прорекламировать свои взгляды. Злоумышленники, хвастающиеся тем, что взломали ваш сайт, ищут признания.

Рассылка спама

Email-спам остается огромной проблемой. Согласно Statistica, в декабре 2015 на долю спама пришлось 54.4% всего email-трафика сети. По данным опрошенных нами пользователей, 19.8% взломанных WordPress-сайтов использовались для рассылки email-спама.

В большинстве случаев владелец сайта довольно долгое время не знал, что произошел взлом его ресурса. В некоторых случаях владельцы сайта отмечали падение производительности сайта или проблемы с использованием сервера. Либо их хостер отмечал это и рассылал им предупреждения.

К сожалению, довольно большой процент владельцев сайтов узнавали о рассылке спама только тогда, когда их домен был внесен в черный список различных сервисов, таких как, к примеру, Spamhaus. Если вы полагаетесь на email для общения с клиентами, то в таком случае это может иметь разрушительные последствия.

Чем это полезно для нападающих?

Нападающий получает двойной профит. Во-первых, он бесплатно использует ресурсы сервера, за которые вы платите. Во-вторых, пока злоумышленник не успел разрушить вашу репутацию, он может извлечь выгоду для себя из рассылки email с вашего домена и IP-адреса. В конечном счете, взломщики пытаются заставить пользователей перейти на их вредоносные сайты.

SEO-спам

Есть много способов эксплуатации вашего сайта злоумышленниками для улучшения ранжирования своих сайтов в поисковой системе. Первый способ – простое размещение страниц на вашем домене, получая выгоду от его хорошей репутации и авторитетности. Пример такой страницы ниже.

Другой способ – размещение ссылок на другие сайты на вашем ресурсе. Это позволит злоумышленникам получить неплохой прирост в плане SEO. Обратные ссылки до сих пор остаются важным SEO-фактором, поэтому хакер, взломавший многочисленные сайты, может добиться серьезного роста SEO-показателей.

Многие наши респонденты использовали термин «фарма-хак», чтобы описать данный тип атак, поскольку эти атаки не так давно использовались для продвижения фармацевтических сайтов.

Пример html-страницы, которую нападавший скрыл на зараженном сайте.

attpage

Чем это полезно для нападающих?

Я считаю, что многие из вас знают, что выход в топ поисковой выдачи – отличный способ привлечь трафик к сайтам. С помощью SEO-спама хакеры могут направлять трафик с легитимных сайтов на свои собственные ресурсы.

Вредоносные редиректы

Редиректы – невероятно эффективный способ направления трафика к вредоносным сайтам. Пользователю даже не нужно кликать по ссылкам или рекламе – он сразу же перенаправляется на сайт злоумышленников.

Иногда атакующие прибегают к очень агрессивному подходу, перенаправляя весь трафик к вредоносным сайтам. Однако в большинстве случаев хакеры используют меры, позволяющие избежать обнаружения – к примеру, перенаправляют только некоторые URL-запросы или активируют редирект только для определенных браузеров или типов устройств.

Чем это полезно для нападающих?

Основная мотивация для хакеров – получить трафик для своего вредоносного контента.

Размещение фишинговых страниц

Фишинговые страницы пытаются обмануть посетителя, заставив его предоставить конфиденциальную информацию. В некоторых случаях фишинговые страницы маскируются под популярные банки или магазины, пытаясь заполучить ценную информацию, такую как номер кредитной карты. Иногда они создаются для получения логина и пароля к разным сайтам, включая ваш WordPress-сайт.

Пример фишинговой страницы:

phish

Чем это полезно для нападающих?

Ценность номера вашей кредитной карты очевидна. Злоумышленники могут использовать полученные данные для входа в ваши онлайн-аккаунты, применяя их в социальном инжиниринге или для фишинговых атак и компрометации вашей личности.

Распространение вредоносного ПО

Как только хакеры взломали ваш сайт, они могут установить вредоносный софт, который будет ставить разные вирусы на компьютеры посетителей вашего сайта без их ведома. Это – самое страшное последствие для вас как владельца сайта.

Если Google обнаружит, что это произошло, он будет сигнализировать об этом другим посетителям. В итоге SEO-показатели вашего сайта заметно просядут. Что еще хуже, посетители вашего сайта, зараженные вирусами, вряд ли будут тепло относиться к вам.

Влияние этого на вашу репутацию будет длительным и очень серьезным. К счастью, только 2.9% респондентов сообщили об этом.

Чем это полезно для нападающих?

Установка вредоносного софта на сотнях и тысячах компьютеров посетителей вашего сайта предоставит нападающему прямой доступ к ценной информации и нанесению ущерба пользователям.

Кража пользовательских данных

Мы были приятно удивлены, что, несмотря на наше предположение, что взломщиков интересуют ценные данные пользователей, лишь 1.1% наших респондентов сообщили о краже данных в результате взлома их WordPress-сайтов.

Мы считаем, что главная причина этого кроется в том, что большинство WordPress-сайтов не хранит ценные данные пользователей (кроме логинов/паролей и, возможно, email-адресов). Также стоит отметить, что владельцам взломанных сайтов достаточно сложно обнаружить случившееся воровство данных, поэтому цифры, скорее всего, являются преуменьшенными.

Чем это полезно для нападающих?

Украденные пользовательские данные могут использоваться для восстановления доступа к сайту, даже если сам сайт уже был очищен от вирусов. Комбинация логина и пароля может также подходить и к другим сайтам, если пользователь применяет одни и те же данные.

Украденные email-адреса могут использоваться для спама. Очевидно, более высокую ценность имеет такая информация, как данные кредитных карт.

Атака на другие сайты

В некоторых случаях злоумышленник принимает решение использовать ваш веб-сервер как платформу для проведения атак на другие сайты. Это относительно редко встречается на практике, если анализировать ответы наших респондентов – примерно в 0.7% случаев.

Чем это полезно для нападающих?

Атакующий бесплатно использует ваш сервер в своих целях. К тому же злоумышленники с большей вероятностью смогут обойти защиту своих целей, используя атаки с вашего домена и IP-адреса. По крайней мере, до тех пор, пока они не разрушат вашу репутацию.

Программы-вымогатели

Это такие программы, которые блокируют доступ к вашему сайту и требуют оплаты, чтобы вы смогли вновь пользоваться ресурсом. Этот тип атак недавно попал в объективы блогов и прессы. Мы были удивлены тем, что только 0.6% опрошенных нами людей сообщили про данный тип атак.

Пример подобных атак:

rans

Чем это полезно для нападающих?

Если у вас нет бэкапов, то в таком случае вы можете принять решение, что оплата злоумышленнику – единственный способ сохранить свой сайт. Вы переведете ему средства, в результате чего взломщик сможет заработать на вас. Выгода – основной мотив этого подхода.

Размещение вредоносного контента

Хакеры будут использовать ваш сервер для размещения вредоносных файлов, которые могут вызываться с других серверов. По существу, они используют ваш хостинг-аккаунт в качестве файлового сервера.

Чем это полезно для нападающих?

Атакующий получает бесплатное хранилище файлов, которое имеет отличную репутацию (доверенный домен и IP-адрес).

Referrer-спам

Если вы использовали ранее Google Analytics, вы, скорее всего, сталкивались уже с referrer-спамом. Referrer-спам – это трафик, который приходит с поддельного реферера. Спамер пытается заставить владельца сайта перейти по ссылке в реферере, привлекая трафик на свой сайт.

Пример такого спама:

refsp

Чем это полезно для нападающих?

Как уже было со многими другими видами вредоносной активности, хакеры пытаются бесплатно использовать ваш сервер, прикрываясь доверенным IP-адресом. Их конечная цель – привлечь трафик к своим сайтам. А уже на сайтах может располагаться вредоносное ПО.

Заключение

Если вы считали ранее, что ваш сайт не является «лакомым кусочком» для злоумышленников, то теперь, мы надеемся, вы уже так не считаете. Теперь вы знаете, какие мотивы имеют злоумышленники, почему они ломают сайты, как они их потом эксплуатируют.

Блог про WordPress
Комментарии: 25
  1. Looler

    Надо бы собрать всех таких товарищей и «на кол»!!!

    1. Дмитрий (автор)

      Увы, но взломы как были, так и будут повторяться, пока существует интернет

  2. Дмитрий

    Стоит ли ждать статью о том, как уберечься от таких взломов?

    1. Дмитрий (автор)

      Про защиту уже было много статей. Можете найти их через поиск по сайту.

  3. pinman

    пару раз ломали один и тот же мой сайт и размещали редирект на какое-то УГ. Благо сайт тогда только-только родился, так что аудитории у него не было, и соответственно ущерб был минимальный. Благодаря этим взломам изучил способы защиты вп-сайтов, и теперь все ОК)

  4. Дмитрий

    Да уж. Чем только злоумышленники не занимаются. Сайты с фишинговыми страницами раньше частенько встречал, как правило подделки под mail.ru и под контакт.

  5. Отзыв

    пока люди
    1) будут верить всяким фишинговым сайтам и вымогателям..
    2) в поисках халявы скачивать ехе и просто файлы с троянами..

    В интернете будет эта зараза

  6. merfo

    Давно когда-то у меня тоже взломали сайт, но я заметил это через пару недель. Они просто отредактировали статьи и проставили свои ссылки. Теперь использую плагин мониторинга действий в консоли – все действия отслеживаются.

    1. 4memo

      А как называется этот плагин для мониторинга?

  7. Елена Маая

    А причем тут вообще Вордпресс? Ровно все тоже самое можно сказать и о Друпале и о любом другом движке…

    1. Дмитрий (автор)

      WordPress охватывает большой процент сети, потому на его основе можно лучше всего проиллюстрировать такие риски. А вообще проблемы с движками примерно одинаковые, как и способы взлома.

  8. vinershakirov

    На практике сталкивался с труднодиагностируемыми случаями взлома. Правда оба раза была поломана джумла.
    Так вот, один раз был настроен скрытый редирект на МАЛУЮ часть посетителей, причем редирект работал избирательно с иточниками трафика — прямые заходы не редиректил вообще никогда. Обнаружил совершенно случайно, когда прокликивал страницы сайта из поиска (на джумле, как известно еще и с дублями проблема, я собирал дубли). Потом, несколько раз сканили сайт айболитом и тп — безрезультатно. В панелях гугла и яндекса тоже была тишина. В итоге нашли левые строчки кода на хостинге (по-моему в base64). Единственное, что может помочь в таких случаях — несовпадение данных по посетителям в метрике и кликам в панелях яндекса и гугла.
    Второй случай был проще — наводнили сайт страницами с ссылками на фарму. Но это и детектится и лечится проще.

  9. Den_k5

    Знаю что очень часто ломают компонент К2 на Джумле для размещения ссылок. Причём хозяин сайта может и не знать о появлении новых статей со ссылкой.

  10. Андрей

    А есть у кого нибудь инфа о том как научиться взламывать сайты?))

  11. Елена

    Джумла и ворд пресс самые дырявые движки. Лучше использовать что то платное

  12. Elena

    Какой ужас, неприятно и противно. стараешься стараешься, а какие-то засранцы на чужих трудах на халявку зарабатывают.

  13. Anna

    Добрый день,
    а что следует делать если сайт взломалис с целью рассылки спама?

    1. Дмитрий (автор)

      Устранять последствия взлома. Выяснять, как именно сайт был взломан. Менять везде пароли, проверять сайт с помощью спец. инструментов (сканеров), обновлять всегда WP до последней версии. Вот краткий список действий.

  14. html-верстальщик

    Когда уже спецы по вордпресу сделают универсальную защиту от взлома? Вот взялись бы серьезно за этот вопрос, написали бы API, через которое работали остальные плагины и т.д. Ведь для многих выбор цмс зависит от уровня защиты от взлома, а ВП с джумлой этим к сожалению не могут похвастаться :(

    1. Дмитрий (автор)

      У любой защиты могут быть выявлены свои дыры. Так что универсального решения все равно не существует. Как, к примеру, защититься от фишинга? Только с помощью повышения грамотности пользователей.

  15. Workerstroy

    А на форуме есть специалисты, знающие, как защитить сайт от взлома. И еще хотелось бы узнать, их интересуют только раскрученные сайты, ведь толку с «новеньких», наверное, нет? Спасибо всем, кто откликнется.

    1. Дмитрий (автор)

      Толк может быть и от новых сайтов. Ломают, вставляют ссылки на свои сайты, потом сайт постепенно развивается, и эти ссылки начинают приносить профит. А владелец сайта порой даже не в курсе об этом.

  16. Дмитрий

    На самом деле сайты будут ломать пока их будут делать. Даже я (далеко не профи) знаю дыры в ВП и жумле (потому что как раз меня через них и ломали пару раз)

    1. Дмитрий (автор)

      Конечно.
      Это естественный процесс. Сайты как ломали, так и будут ломать в будущем. Потому стоит всегда быть настороже и ставить защиту.

  17. Геннадий

    Собственно вариантов как использовать дыры в бесплатных cms типа wordpress, joomla и drupal множество, это уже второй вопрос,
    думаю главный и первый вопрос как от этого защититься.
    если у вас серьезный коммерческий сайт и его взломают, последствия могут быть катастрофическими — поисковики пометят сайт как инфицированный вирусом, понизят его в поисковой выдаче

    думаю самое первое, что необходимо сделать, если сайт работает на cms с открытым исходным кодом — это озаботиться правильными настройками хостинга, а лучше вообще перейти на выделенный сервер (физический или виртуальный), где будет возможно настроить все доступы к файлам со скриптами движка.

    практически все атаки на движок таким образом отбиваются, тут уже взлом возможен на уровне операционной системы, но это уже другая история, не имеющая отношения к бесплатным движкам.

Добавить комментарий

Получать новые комментарии по электронной почте.