Доступы к беларуским сайтам все чаще можно найти в продаже: как обезопасить свой ресурс?
от: 17-04-2025 11:04 | раздел: 4Бизнес / Статьи / Софт
После информации о том, что в даркнете растет торговля вредоносными скриптами, загруженными на сайты в зоне .BY у владельцев интернет-ресурсов появилось много вопросов. Как понять, не взломан ли сайт? Как быть уверенным в том, что доступ к вашему ресурсу не выставлен за несколько долларов на специализированных площадках? Как веб-шеллы вообще попадают в ваши проекты, чем могут быть опасны и насколько распространены? Наконец, как защитить свой сайт?
На эти и другие вопросы простым языком ответили специалисты центра кибербезопасности hoster.by.
Что такое веб-шелл
Это небольшая программа, задача которой — получить доступ к серверу для выполнения каких-то действий при помощи команд. Сами по себе веб-шеллы или командные оболочки не наносят вреда и как инструмент часто используются системными администраторами для обычных действий на сервере через веб-браузер. То есть в отличие от вирусов или других вредоносных программ они не запускают автоматически какое-то действие, а «приоткрывают дверь» к базам данных, файловой системе, административной панели сайта или внутренней сети.
Механизм давно используется злоумышленниками. В том числе благодаря тому, что веб-шелл может очень долго оставаться незамеченным. Однажды разместив его, например, через уязвимость системы управления сайтом, можно долгое время эксплуатировать веб-ресурс. А его владелец при этом может даже ничего не подозревать, потому что проникновение все чаще происходят для получения доступа к персональным данным, использования проектов для организации DDoS-атак, скрытого майнинга и т.д.
К тому же сам по себе сайт с внедренным веб-шеллом может быть не только мишенью, но и товаром. Стоимость доступа к беларускому сайту обычно не превышают 4-5 долларов, но может достигать нескольких тысяч. При этом возможности для дальнейшего использования ограничены только фантазией покупателя.
Почему это проблема для десятков тысяч сайтов в Беларуси
Сами по себе атаки через веб-шеллы были и остаются одними из самых популярных – в 95% инцидентов встречается их использование. При этом по некоторым ресурсам могут работать сразу несколько хакерских группировок, которые устанавливают свои вредоносные скрипты. Один из недавних примеров, когда на пяти пострадавших ресурсах специалисты центра кибербезопасности hoster.by обнаружили 125 веб-шеллов. Возможна и обратная ситуация, когда один зафиксированный инцидент с использованием веб-шелла может включать более сотни пострадавших сайтов.
«В последнее время мы наблюдаем снижение количества киберинцидентов. Так, в первом квартале 2025 года инцидентов высокого уровня было 88, тогда как в 2024 году их число варьировалось от 103 до 141 в квартал. При этом за прошлый год при сканировании ресурсов клиентов специалисты нашего центра кибербезопасности выявили и устранили порядка тысячи веб-щеллов. А в первом квартале 2025 года их число на 27% выше, чем за такой же период 2024 года, — комментирует генеральный директор hoster.by Сергей Повалишев. — Мы всегда информируем владельцев сайтов о таких неприятных находках и предлагаем помощь в их устранении. Также подробно описываем наиболее
массовые кейсы, чтобы у пользователей была возможность оперативно проверить свои сайты и закрыть уязвимость».
Специалисты обращают внимание, что сложно выделить конкретные отрасли или типы сайтов, которые наиболее подвержены такого рода атакам. Чаще всего злоумышленники массово эксплуатируют какую-то уязвимость и действуют не прицельно.
Но последствия взлома для разных проектов могут сильно отличаться. Больше всего стоит быть начеку тем, кто работает с персональными данными и другой информацией ограниченного распространения.
Что делать владельцам сайтов
Можно пойти по пути делегирования защиты своего проекта центрам кибербезопасности (SOC). В этом случае самостоятельно делать практически ничего не нужно: все будет работать на услугах с повышенными стандартами защиты с подключенной системой мониторинга. Специалисты SOCа будут также проверять ваш ресурс на наличие утечек, компрометации и несанкционированного доступа.
Если вы занимаетесь вопросами безопасности самостоятельно, специалисты дают такие рекомендации:
Для своевременного обнаружения вредоносного ПО
- Проводите регулярные сканирования безопасности. Используйте автоматизированные инструменты обнаружения веб-шеллов и бэкдоров на вашем сайте. Рекомендуемые решения: Nmap, OWASP ZAP, Nikto, Acunetix WVS.
- Проверяйте целостность файлов. Можно использовать системы контроля версий и проверки хэшей файлов, чтобы убедиться, что файлы сайта не были изменены злоумышленниками.
Для профилактики заражения
- Обновляйте CMS и компоненты. Поддерживайте вашу систему управления контентом и установленные плагины и расширения обновленными, поскольку большинство атак совершается именно благодаря старым версиям программного обеспечения.
- Ограничьте права доступа. Минимизируйте привилегии пользователей, работающих с системой администрирования. Доступ администратора предоставляйте только ответственному лицу и ограничьте возможность удаленного входа с внешних устройств.
- Настройте WAF (например hoster Guаrd) и межсетевые экраны. Грамотная настройка правил фаервола позволяет блокировать нежелательные запросы.
- Проводите мониторинг состояния ресурсов и поведения сотрудников. Внедрите механизмы выявления аномалий, в том числе в поведении сотрудников и сторонних подрядчиков, имеющих доступ к вашему ресурсу.
- Шифруйте соединения. Обязательно применяйте HTTPS и шифруйте любые данные, передаваемые между сервером и клиентом.
- Анализируйте регистрационные записи DNS и хостинга. Регулярно проверяйте сведения о владельце ресурса и изменения IP-адресов. Любые подозрительные изменения требуют немедленного расследования.
Что делать, если обнаружили проблему?
- Немедленно заблокируйте доступ ко всему административному интерфейсу сайта.
- Уведомите соответствующие службы и своего провайдера услуг безопасности.
- Сделайте резервную копию взломанного ресурса для проведения расследования. Если есть свежие копии, восстановите последнюю подтвержденную версию.
- Просканируйте ресурс антивирусным ПО.
- Выполните полное тестирование всех ресурсов и приложений.
- Если у вас есть соответствующие специалисты, проведите расследование и найдите причины взлома, чтобы понять дальнейшие меры для защиты.
И, конечно, вы всегда можете обратиться в центр кибербезопасности за консультацией и помощью в решении проблемы.
Подписывайтесь и читайте новости от ITквариат раньше остальных в нашем
Telegram-канале !
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!
И еще на эту тему...
Первый обзор Switch 2: оно того стоитКак выбрать правильный игровой ноутбук в 2024 годуЧто такое программное обеспечение с открытым исходным кодом?iPhone 15 против iPhone 14 — сравнение характеристик, цены и функцийРуководство по выбору нового процессора: пять вопросов, которые нужно задать себе перед покупкойОбзор Galaxy Z Flip 5: почти идеальное "железо" с очень "сырым" ПОБыстрее, чем RTX 3060: обзор Nvidia GeForce RTX 4060По ту сторону Даркнета: как обезопасить себя от кибер-мошенников?Руководство по выбору новой видеокарты: пять вопросов, которые нужно задать себе перед покупкойОбзор Sony PlayStation VR2Как стать и что нужно учитывать будущим веб-разработчикам?Прыжок в никуда: как осушить "Море китов"?Как работает аккумулятор iPhone и как за ним ухаживатьКак правильно реагировать на отрицательные отзывы в глобальной Сети, или Как заботиться о своей репутации10 000 часов с Клодом Шенноном: как гений думал, работал и жилОбзор Asus Zenbook Pro 14 Duo: двухэкранный ноутбук с быстрым OLED-дисплеем на 120 Гц5 шагов к созданию контент-конвейераПервые сайты Рунета: что с ними сейчас?Шеринг: весь мир в арендуБеларусь - IT-страна. Есть ли у отечественных разработчиков перспективы работать на внутренний рынок или наше будущее в "аутсорсинге"?
