1. Анатомия взломанного сайта Joomla
Для начала, нам необходимо взглянуть на справочную информацию, которая даст возможность понять ситуацию, создавшуюся на вашем сайте, что поможет вам принять осознанное решение.
Как взламывают сайты на Joomla?
Общее убеждение среди владельцев сайтов состоит в том, что многие говорят “Да зачем кому-то взламывать мой сайт?", “Вряд ли мой сайт нужно кому-то взламывать”.
Но с этой идеей есть несколько проблем:
1. Предполагается, что хакер сам решает взломать ваш сайт. В реальности, атаки и взломы, в большинстве случаев, автоматизированы и происходят на основе известных уязвимостей в Joomla. Таким же образом, как генеральный директор Google не сам собирает сайты для выдачи в результатах поиска, специальные хакерские программы ищут уязвимые сайты в интернете.
2. Идея предполагает, что ваш сайт не имеет никакой ценности для хакеров. Однако каждый сайт имеет ценность для хакера.
Почему ваш сайт на Joomla стоит взламывать
Хакер может использовать любой веб-сайт, чтобы использовать его для целого ряда ценных вещей:
· Рассылка спама по электронной почте.
· Сбор личной информации о ваших клиентах.
· Повышение рейтинга других сайтов в поисковых системах путем внедрения ссылок на них на вашем сайте.
· Создать трафик с вашего на другие сайты.
· Добавить файл, которые изменяют аналитику других сайтов, для того чтобы фальсифицировать результаты SEO или маркетинговых работ, когда их нет.
· Распространение вредоносных программ для заражения компьютеров посетителей
· Шифрование ваших файлов, а после - требование выкупа за них.
Что меняется после того, как вас взломали
Сразу после того, как вас взломали, не многое может измениться. Некоторые скрипты просто устанавливают шелл для хакера, чтобы он потом мог использовать его по своему усмотрению.
Что такое Шелл? Шелл (shell) является одной из тех вещей, которые обычно добавляются для взлома сайта. Это вспомогательный скрипт, который анализирует ваш Веб-сервер для поиска других уязвимостей, а также упрощает хакерам внесение изменений в вашей системе. Это дает им возможность загружать файлы, менять права доступа, а также доступ к вашей базе данных. Это своего рода хакерский инструментарий.
Однако, шелл-скрипт - это скрипт, которого может и не быть. Все зависит от того, что хакер разместит на взломанном сайте Joomla.
Существуют три основных пункта, которые могут быть изменены после того, как вы хакнули (каждый случай индивидуален, и, может быть, вы не получите изменений во всех трех пунктах):
1. Добавлен вирус. Вредоносные программы обычно называют вирусами, червями или троянами. Это, в основном, классические программы, которые будут отправлены на компьютеры ваших посетителей, когда они будут загружать ваш сайт в своих браузерах. Вредоносные программы постоянно развиваются и могут выглядеть как самые обычные файлы и даже изображения.
2. Файлы изменены или добавлены. Когда хакер успешно взломает ваш Joomla-сайт, они может внести изменения в файловую систему, чтобы сделать что-либо из большого списка, о котором мы говорили выше.
3. Записи базы данных добавлены или изменены. Часто успешные атаки несущественно влияют на файловую систему, но база данных будет изменена. Это отдельный вид атак, когда нормальное функционирование вашего сайта на Joomla будет включать изменения в базе данных для того, чтобы причинить вред. Например, ваши статьи Joomla могут содержать JavaScript, вложенный в них через БД, из-за чего при загрузке той или иной статьи пользователь будет перенаправлен на другой сайт.
Но для любой из этих областей изменения могут происходить, но не быть очевидными. Хакеры находятся в постоянной гонке вооружений с профессионалами безопасности. Это как безумном мультфильме, в котором два шпиона воюют друг с другом, постоянно выискивая способы, чтобы обмануть друг друга. К сожалению, это делает задачу идентификации взломанных файлов и записей базы данных сложной задачей даже при использовании хороших инструментов.
Поскольку атаки не всегда очевидны, в разделе 2, “Мой сайт на Joomla взломали?”, мы будем изучать, как выяснить был ли ваш Joomla-сайт взломан. (Если вы уверены, что вас уже взломали, можно сразу перейти к разделу 3: Как найти взломанные файлы Joomla).