Как взломали мой сайт?

Как взломали мой сайт?

Думаю, все заметили, что последние месяцы я пишу заметно меньше, чем обычно. Причина проста и банальна работа ;-) . Надеюсь, что скоро график выправится и публичная активность восстановится.

Но, сейчас не об этом.

С сокращением числа публикаций, сократилось число и объем обслуживающих мероприятий на сайте, в т.ч. связанных с безопасностью (антвирусное сканирование, бэкапирование, обновления, [чисткаk). Если антивирус включен постоянно, а бэкапирование происходит еженедельно, то вот обновления я провожу только вручную, т.к. уже бывали случаи, когда приходилось делать откат системы из-за поспешного обновления. Но все хорошо в меру. За последние месяцы я пропустил 2 обновления в т.ч. с патчами безопасности.

В результате сегодня получил письмо от неизвестного доброжелателя следующего содержания:

Hello,

I am emailing to you let you know that www.tsarev.biz has been hacked. If you view your source code on the homepage you will see a couple of hidden links the hacker has inserted into your page. You can’t see the links just by looking at your web page, you need to view the source.

The person responsible for this has hacked thousands of different websites so I am trying to contact as many of them as possible to let them know. They are a Russian criminal and are using these hacked sites to promote various scams and are costing people a lot of money. If you have any questions please let me know and I will try and help if I can.

Thanks,

Обычно такие письма у меня сразу попадают в спам, а тут спам-фильтр на gmail его пропустил. Я решил проверить, действительно ли на главной странице есть лишние ссылки. И что вы думаете, я нашел такую:

Ссылка действительно скрыта и прячется в заголовке (header.php) под анкором [Payday loansk, а сайт:

По всей видимости, это была ковровая инъекция всех необновленных сайтов.

Интересно, что автор письма ссылается на [Русских преступниковk, которые используют взломанные сайты для различных видов мошенничества.

Конечно, ничего серьезного не произошло, раньше я тоже помогал коллегам находить левые ссылки на сайтах. Вот видимо настала моя очередь ;-) . Нужно быть особо внимательным какое-то время, последить за развитием событий.

Так или иначе, всё лишнее я подчистил, движок обновил, одним словом обслужил сайт.

Теперь все хорошо, главное на долго не пропадать ;-) .

P.S. ВСЕМ КОЛЛЕГАМ, У КОГО ЕСТЬ САЙТЫ НА WORDPRESS – ПРОВЕРЬТЕ ОБНОВЛЕНИЯ И ИСХОДЯЩИЕ ССЫЛКИ (можно этим )!

Информационная безопасность антивирус взлом ИТ-блоги сайт хакеры
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Евгений Царев

Персональные данные, Информационная безопасность и ИТ-инновации