14 марта прошла видеовстреча с веб-мастерами на тему «Безопасность сайтов». Встречу провели сотрудники команды качества поиска Google Мария Моева, Елена Ковакина и Андрей Липатцев.
Лена рассказала, как и почему ломают сайты. Любой взлом вредит репутации сайта, какая бы ни была у него цель. Взломщику мало внедрить свой код или контент на страницы сайта, взломщику важно, чтоб вебмастер не замечал этого как можно дольше, и как можно дольше можно будет красть трафик и пользователей сайта. Очень часто встречается такой способ взлома, как увод мобильного пользователя, довольно часто ― с помощью фальшивого окна установки браузера, хотя такое перенаправление может производиться многими способами.
Часто хакер не просто ломает сайт, не только внедряет в сайт перенаправление, а внедряет подмену страниц для Google-бота.
Нередко взлом происходит собственно без взлома, когда вебмастер сам вставляет на сайт сторонний код, чаще всего ― при монетизации через рекламные сети, тизерные сети, партнерские программы, баннерную рекламу.
На сайте можно увидеть объявления, которые пытаются напугать пользователя. И есть множество возможностей для введения в заблуждение. Внедрение сомнительного рекламного или партнерского кода на сайт ― еще одна потенциальная уязвимость. Это делается для перенаправления пользователя, для загрузки вредоносного кода, для сбора информации о поведении пользователя, и, в конечном итоге, все это наносит урон репутации сайта.
Лена напомнила, что в случае неполадок Google предупреждает публично в выдаче
и в частном порядке в сообщениях.
И там же можно найти больше информации о том, что конкретно случилось с сайтом.
Для профилактики Лена рекомендовала регулярно обновлять CMS; не использовать неофициальные (взломанные, «обнуленные» и т.д.) версии популярных движков, так как зачастую многие из них уже включают лазейку, через которую можно менять код. Важно регулярно менять пароли и коды доступа. Не рекомендуется вставлять динамический контент, в источнике которого нет уверенности (javascript, фреймы, коды партнерских программ). И нужно регулярно проверять сайт на взлом и несанкционированные изменения.
Если сайт уже взломали, то Лена предложила новый ресурс для вебмастеров http://www.google.ru/webmasters/hacked. Для начала нужно связаться с поддержкой хостинга ― возможно, активность на их стороне. Временно отключить сайт, чтоб он перестал распространять подозрительные файлы новым пользователям. Проверить Инструменты для вебмастеров, и на основании этого оценить размер ущерба, и с какой именно целью был взломан сайт ― чтобы распространять спам, продавать ссылки или распространять вредоносные файлы. После очистки можно отправлять запрос на антивирусную проверку, чтобы оповестить Google, что ваш сайт чист.
Напоследок Лена отметила полезные инструменты для проверки на вирусы: https://www.virustotal.com/ru/ (сканирует файлы во многих форматах, в том числе, файлы для мобильных телефонов) и http://unmaskparasites.com.
Мария добавила, что можно также поставить Google Alerts по запросу site:ваш.сайт, и добавить слова, которые часто встречаются на взломанных сайтах ― например, «казино», «виагра».
На вопрос, сколько ждать, чтобы ситуация вернулась в норму, Андрей ответил, что конкретных сроков нет, но, если следовать всем вышеперечисленным шагам по восстановлению безопасности сайта, потом отправить через Инструменты для вебмастеров запрос на повторную проверку, то это не должно занять много времени. Если уязвимости были устранены и вредоносный код удален, то сайт будет рассмотрен повторно. Запросы на повторную проверку следует отправлять только в случае получения уведомления о мерах, принятых вручную командой по борьбе в вебспамом. Такие меры также принимаются в отношении взломанных сайтов. Если же речь идет только о том, что на сайт был размещен чей-то чужой код, и появилось уведомление в результатах поиска, или браузер выдает предупреждение при открытии страницы, но меры вручную по отношению к сайту приняты не были, то следует подать запрос на антивирусную проверку. Пока эти две проверки не совмещены. Запросы на антивирусную проверку обрабатываются автоматически.
Мария уточнила, что уведомление о вредоносности в случае удаления вредоносного ПО обычно пропадает в течение дня, система быстро реагирует на все перемены.
Лена отметила, что возможен вариант, когда заражен сайт, с которого стоит реклама, баннер. И, так как виновата третья сторона, в Инструментах для вебмастеров не будет предупреждения об этом вирусе. Андрей добавил, что в этом случае для безопасности можно просто отключить контент третьих сторон с сайта и посмотреть, что реально нужно, и чему можно реально доверять.
Решения, которые принимает система о том, вредоносен ли тот или иной сайт, в той же степени правомерны, в какой правомерны решения любой антивирусной программы.
На вопрос об уязвимостях, которые могут влиять не на операционную систему, а именно на браузер, конкретнее, Chrome, Елена ответила, что скомпрометировать работу браузера можно, и огромным количеством способов. Самые распространенные ― это скрытная установка всевозможных расширений и тулбаров, которые могут делать что угодно, от скрытого и навязчивого показа рекламы и до сбора и продажи информации обо всем, что происходит в этом браузере.
Независимый специалист по безопасности Денис Синегубко добавил, что работа по устранению сложнее, когда сайт не заблокирован, но появляется предупреждение браузера или предупреждение в выдаче ― тогда нужно в реальном времени проверять, что творится с сайтом.
Он также обратил внимание на то, что очень часто вредоносный код вставляется в Java-скрипты, то есть, в файлы с расширением .js. Часто ищут в php-файлах, в html-файлах и забывают про js-файлы. Также очень много взломов идет через модификацию файлов .htaccess. Самое частое, что делается ― это перенаправление, если пользователи приходят на сайт с поисковиков или соцсетей. Главное ― не забыть проверить файл .htaccess не только в корневом каталоге сайта, а и на других уровнях.
Смотреть видеозапись встречи
Комментарии