Как вылечить сайт от рассылки
Причины рассылки спама с сайта
Вопреки расхожему мнению, спам может рассылаться не только в результате взлома сайта и загрузки на него вредоносных скриптов. Есть много вариантов, когда причиной спама становится компрометация доступов, наличие уязвимостей в скриптах или просто некорректно настроенный почтовый сервер.
Диаграмма источников и причин рассылки спама представлена ниже:
Рассмотрим все возможные причины рассылок почтового спама с сайта (или сервера) и варианты решения этой проблемы.
Спам-рассылка в результате взлома
Взлом сайта или сервера — это наиболее популярная причина возникновения несанкционированной рассылки. Как все происходит? Сайт взламывается хакерами через уязвимости в скриптах или в результате раскрытия доступов (учетных записей) к FTP/SSH/админ-панели сайта или панели хостинга. Получив возможность загружать файлы, хакер (или его бот) размещает спам-скрипты в каталогах сайта или сервера и рассылает спам через них. Обнаружить источник спам-рассылки данном случае поможет анализ служебных заголовков спам-письма (или логов почтового сервиса) и журнала access_log.
Иногда взламывают не сам сайт, а сервер (например, арендованный VPS), загружают по SSH скрипты Perl или Python и через них организуют рассылку почтового спама или туннель.
Для решения проблемы необходимо провести полную диагностику на взлом, сканирование сайта (сервера) на наличие вредоносных скриптов, удалить не только спам-рассыльщики, но и все прочие хакерские скрипты, а затем закрыть уязвимости и установить защиту от взлома.
Спам-рассылка без взлома
Рассмотрим более интересные варианты: как спам может рассылаться без взлома сайта (сервера) и спам-скриптов. Их пять.
- Спам через уязвимости в скриптах отправки писем
Если на сайте есть скрипты, которые не проверяют значения, передаваемые в запросе, то велика вероятность эксплуатации уязвимости и рассылки спама через легитимные скрипты. Так было, например, с рассылкой спама через рекомендательный компонент плагина virtuemart в Joomla, где любой желающий мог отправить произвольный текст произвольному адресату.
Второй популярный вариант рассылки спама – это использование форм обратной связи, у которых не реализован механизм защиты от ботов (captcha) или со слабой защитой (стандартная captcha). Слабые капчи легко обходятся современными спам-ботами, а если форма не содержит никаких механизмов защиты от ботов, то вероятность спама близка к 100%. Например, проблемы часто возникают у сайтов с формами “Позвоните мне” или “Быстрый заказ”, которые реализованы в виде всплывающего окна с ajax-обработчиком.
Проблема спам-рассылки решается посредством добавления к форме специального поля со сложным механизмом проверки “я не бот”, например, от Google Recaptcha2.
- Спам из-за массовых регистраций пользователей или атак на сайт
На многих сайтах, где (возможно и неявно) активирована функция регистрации пользователей, большой поток писем может генерироваться в результате отправки уведомлений о регистрации. Как это работает: специальный бот несколько раз в секунду отправляет специально сформированные запросы на сайт, в результате чего в базе данных создаются новые пользователи, а администратору на email отправляется уведомление о том, что необходимо одобрить или отклонить регистрацию (или просто письмо-уведомление с информацией о том, что на форуме или сайте появился новый пользователь). Таких писем может отправляться несколько сотен в час. Данная проблема часто встречается на сайтах Joomla с активным компонентом K2 или на форумах, где администратор включил опцию отправки уведомлений о регистрации.
Казалось бы, спам-рассылки как таковой с сайта нет, но хостинг-компания все равно может заблокировать работу почтового сервиса для сайта из-за превышения лимита на число отправляемых сообщений.
Проблема решается посредством добавления механизма защиты от авторегистраций (например, через Google Recaptcha2) или (в качестве временного решения) отключения уведомлений о регистрации пользователей.
Еще одним источником несанкционированной рассылки писем может быть проактивная защита или плагин мониторинга на сайте. Правда жизни в том, что на все публичные веб-ресурсы (например, если сайт проиндексирован в поисковой системе) идут постоянные атаки: сканеры, боты и хакеры ищут “чувствительные” файлы и уязвимости в скриптах. И если на сайте есть плагин, отслеживающий веб-атаки, то любой хакерский запрос к страницам сайта формирует отправку уведомления администратору сайта по электронной почте. Учитывая, что атак в секунду может быть несколько десятков, то подобные уведомления быстро превращаются в спам и забивают очередь почтового сервиса, а за это хостер может блокировать почтовый сервис или даже целиком сайт. Часто проблема наблюдается на Битрикс-сайтах, если включена проактивная защита и уведомления администратора по email.
- Отправка писем через SMTP другого сервера
К счастью, некорректно настроенный SMTP на VPS или выделенном сервере — явление сейчас редкое, но тем не менее возможное. Проблема называется “Open Relay” – это почтовый сервер, через который любой неавторизованный пользователь может отправлять почту по SMTP протоколу.
Если на вашем выделенном сервере в результате некорректных настроек присутствует SMTP-relay, то сервер будет активно эксплуатироваться для спам-рассылок и, скорее всего, его заблокирует обслуживающая компания по жалобе от SpamCop или другого мониторингового сервиса. Проверить корректность настройки SMTP на сервере можно на этой странице. Если у вас обнаружена некорректная настройка почтового сервера, обратитесь к администратору.
- Рассылка спама через взлом почтового ящика домена
Последнее, что приходит в голову владельцу сайта, которого заблокировали за спам – это проверить свои почтовые ящики домена на взлом.
В последнее время все чаще подвергаются компрометации именно корпоративные email, зарегистрированные в домене сайта. Доступ к почте хакеры получают в результате подбора/перехвата/кражи паролей, а это, в свою очередь, случается при работе пользователя по небезопасному сетевому подключению, в результате работы троянских программ или клавиатурных шпионов на компьютере и мобильном устройстве. Взломать могут email бухгалтера или менеджера по работе с клиентами – тех, кто не особенно посвящен в тему информационной безопасности.Если почта размещена в серверах хостера, то спам, отправляемый через взломанный email, будет идти также через почтовый сервер хостинг-компании, и владелец сайта получит уведомление о спам-рассылке. По анализу служебных заголовков отправляемых писем можно определить, с какого именно email отправляются письма.
В качестве превентивной меры следует как можно чаще менять пароли от почтовых ящиков, устанавливать их сложными и разными.
- Отправка спама с подменой отправителя
Часто владельцы сайтов, у которых почта находится на почтовых серверах хостера, получают так называемые NDR (Non Delivery Report) – уведомления о недоставленных почтовых письмах. При этом текст письма может содержать спам-сообщение (рекламный текст, фишинговая ссылка или вредоносный аттач). Естественно, данные письма пользователь почтового ящика не отправлял. В каких случаях данная проблема может возникать?
Варианта два:
1. Взлом почтового ящика, про который мы писали в пункте №4.
2. Отправка писем с фальшивого email.Например, в качестве email отправителя хакеры могут использовать случайную последовательность символов вместо имени пользователя: asdfjhawfkjwf@mysite.ru В этом случае, если письмо не доставлено получателю (а в случае спам-рассылки таких писем сотни или даже тысячи), то email возвращается на asdfjhawfkjwf@mysite.ru. Конечно, вероятнее всего данного почтового ящика не будет зарегистрировано в домене и письмо попадет или в ящик, который назначен как обработчик “по-умолчанию” для всех недоставленных писем (например, email администратора или владельца сайта), или будет удалено. Это еще полбеды. Но зачастую злоумышленники используют существующие email для отправки спама. Ничто не мешает хакеру отправить email, указав в поле From чей-нибудь существующий адрес, например, admin@mysite.ru . Особенно, если для домена mysite.ru, на котором зарегистрирован email, не настроены соответствующие аутентификационные механизмы SPF и DKIM. Тогда все недоставленные письма вернутся на admin@mysite.ru и единственный вариант борьбы с ними – это настройка антиспам-фильтра на почтовом сервере или фильтра, который будет удалять NDR письма автоматически.
Рекомендации по настройке почты
Несколько базовых рекомендаций по безопасной настройке почты на домене:
- Подключите домен к специализированным почтовым сервисам pdd.yandex.ru, корпоративный gmail, mail.ru для бизнеса. Это гарантирует корректную работу SMTP сервера, позволит работать по безопасному IMAP и обеспечит должный уровень защиты от спама.
- Настройте DMARC, SPF, DKIM для вашего домена, чтобы защититься от помены отправителя.
В качестве заключения
Как можно заметить, почтовый спам – это проблема не только технического плана, связанная с небезопасными настройками почтового сервера и уязвимостями на сайте. Причиной спама может быть также и недостаточное внимание к вопросам информационной безопасности со стороны владельцев сайта, сотрудников компании и сторонних специалистов. Поэтому данную проблему нужно решать в комплексе: как техническими средствами, так и организационными мерами.
Наши услуги ИБ
Новинка! Антивирус для ISPmanager Lite
Антивирус для Plesk Onyx
Источник
Проанализируйте способы заражения:
Злоумышленник может получить пароли к администраторским панелям CMS, FTP или SSH аккаунтам. Обычно пароли подбирают или крадут с помощью троянских программ, заразивших компьютер вебмастера.
Уязвимости веб-приложения могут позволять посторонним размещать на сайте произвольный код.
Из-за заражения внешнего ресурса (партнерской программы, баннерной системы, счётчика) предоставленный вам код может стать опасным для пользователей.
Проанализируйте информацию о заражении в Яндекс.Вебмастере, в разделе Безопасность и нарушения. Раздел содержит перечень зараженных страниц, даты проверок и вынесенные антивирусом вердикты. Перейдя по ссылке в названии вердикта, вы увидите его описание и примерный вид кода, соответствующего вердикту (кода, который непосредственно появляется на страницах сайта).
Вы также можете самостоятельно воспроизвести проблему с помощью виртуальной машины.
Остановите веб-сервер, чтобы оградить посетителей сайта от потенциальной опасности. Затем проверьте антивирусом файлы веб-сервера и все рабочие станции, с которых администрируют сервер (можно использовать бесплатные антивирусные утилиты) и смените все пароли: root, FTP, SSH, от административных панелей хостинга и CMS.
Если до заражения была сделана резервная копия сайта, восстановите ее.
Обновите до последних версий все используемые сайтом программы и поищите описания исправленных уязвимостей. Возможно, это поможет понять, каким образом сайт был заражен.
Удалите лишних пользователей с расширенными правами и тщательно проверьте сервер на наличие веб-шелла, с помощью которого злоумышленник может изменять код сайта в обход авторизации.
Проверьте наличие вредоносного кода:
во всех серверных скриптах, шаблонах CMS, базах данных;
в конфигурационных файлах веб-сервера или интерпретатора серверных скриптов;
если вы используете shared-хостинг, проверьте другие сайты, расположенные на том же сервере — может быть заражен весь сервер.
Признаки вредоносного кода:
Код посторонний или незнакомый, не соответствует резервной копии или системе контроля версий.
Обфусцированный (нечитаемый, неструктурированный) код.
Дата модификации файлов совпадает с временем заражения или более поздняя. Этот параметр ненадежен, так как дата модификации файлов может быть изменена вирусом.
Использование характерных для вредоносного кода функций. Примеры таких функций для языка PHP:
динамическое исполнение кода (eval, assert, create_function);
обфускация (base64_decode, gzuncompress, gzinflate, str_rot13, preg_replace);
загрузка удаленных ресурсов (file_get_contents, curl_exec).
Пометка об опасности сайта в результатах поиска будет снята, если при очередной проверке робот Яндекса не обнаружит заражения. Чтобы ускорить перепроверку, в интерфейсе Яндекс.Вебмастера, в разделе Безопасность и нарушения, нажмите кнопку Я все исправил.
Рекомендуем в течение нескольких недель после заражения регулярно перепроверять файлы и код сайта на тот случай, если использованная уязвимость не была устранена или злоумышленники по прежнему имеют доступ к сайту.
Яндекс постоянно ищет и исследует новые виды заражений и публикует результаты исследований в блоге Безопасного поиска Яндекса.
Если вы обнаружили на своем сайте вредоносный или подозрительный код, отправьте его на анализ специалистам.
Источник
231
Вылечить сайт от вирусов еще совсем недавно можно было только на платной основе и совсем не дешево. Прежде всего, мало кто на первых порах создания своего сайта, задумывается о его безопасности. А в случае заражения, желательно кого-нибудь обвинить, но только не себя. А между тем, в большинстве случаев, скажем прямо, мы сами виноваты в этом, «что тут петли-то крутить!»
Но и установкой одного антивируса здесь тоже не обойтись. Я не буду перечислять причины, а сразу перейду к главному вопросу. Если уж так случилось, что вы сами обнаружили или инструменты веб-мастера яндекса и гугла вам подсказали о присутствии вредоносного кода или вируса на вашем сайте, необходимо сразу принять меры, иначе о последствиях просто подумать страшно. Простой бан поисковиков вам покажется сказкой.
Если у вас статичный сайт-визитка созданный на простом html-шаблоне или сверстан вами самостоятельно, то вылечить такой сайт от вирусов покажется простым баловством. Ведь наверняка всегда есть копия такого сайта на локальной машине, старый удалил, новый закачал на хостинг и все готово. Но если вы используете cms-системы, здесь проблема посерьезней и решить ее на раз-два не получиться.
Конечно очень желательно иметь в запасе резервную копию сайта, но как всегда об этом можно и «позже» подумать.
Как вылечить сайт от вирусов созданный на cms
В любой cms-системе очень много различных папок и файлов необходимых для работы сайта. Отыскать в них зараженные файлы в ручном режиме, просто не реально. И здесь многим бесстрашным веб-мастерам пришли на помощь специализированные сервисы. О некоторых я рассказывал в статьях и курсах, но сегодня речь пойдет о сервисе «Вирусдай» (https://virusdie.ru).
Знал о нем давно, но не было повода для близкого знакомства. Но как говориться, не стоит доверять одному антивирусу как и одному врачу, а вдруг ошибка в диагнозе! И я решил протестировать на своем блоге. Все этапы проверки я зафиксировал с помощью подробных скриншотов.
Сервис проверки сайта на вирусы и его лечение
Для начала регистрируемся и получаем письмо с просьбой о подтверждении регистрации. Затем добавляем адрес сайта в специальное поле и процесс пошел.
На втором этапе необходимо скачать файл синхронизации и добавить в корень сайта. При добавлении файла, название самого файла менять не нужно. Как все будет готово, жмем на зеленую ссылку.
Добавлять файл можно вручную, или автоматически, если есть данные для ftp-доступа
Если все сделано правильно и перейдя по ссылке у вас не будет ошибок, а будет вот такая картинка, тогда все отлично и можно выбрать способ лечения платный и бесплатный поиск, а лечить будем самостоятельно. В бесплатном режиме можно проверить только один раз, но а если нет желания постоянно думать о безопасности и тратить время на проверку и лечение сайта от вирусов, можно довериться сервису за не большую плату, всего 2499 рублей в год. Что называется, заплатил и спи спокойно.
Я выбрал бесплатную проверку сайта на вирусы и лечение в ручном режиме. Почему? Что касается денег, то они здесь ни при чем, а вот про ручной режим немного расскажу.
При наличии на сайте специальных расширений, которые тоже могут вызвать подозрение у разных проверочных сервисов, можно по незнанию в один миг нарушить работу всего проекта. А вот в ручном режиме, желательно разобраться что за файл и для чего он предназначен.
Кроме этого, сервис присылает отчет о проделанной работе на почтовый ящик, где так же можно просмотреть название подозрительных файлов и каждый файл является ссылкой на статью об этом файле.
Сам процесс проверки показан на картинке ниже.
Так же доступен полный отчет на сайте virusdie.ru в личном кабинете. Если выбран бесплатный способ, сервис просто дает информацию о найденных подозрительных файлах или вирусах.
Подведя итог, можно сказать о том, что с помощью данного сервиса мы сможем бесплатно не вылечить сайт от вирусов, а произвести поиск подозрительных или зараженных файлов. Лечение соответственно платное, но если учитывать сложность поиска таких файлов, то помощь таких сервисов быстро решает данную проблему
Чтобы обезопасить себя и развеять все сомнения о подозрительных файлах найденных у меня на блоге, я пропустил все эти файлы еще через 50 антивирусов сервиса virustotal.
Проверка подозрительных файлов на вирусы
Хоть я точно знаю к каким плагинам относятся мои «подозрительные» файлы и лечить их от вирусов нет необходимости, все же решил устроить дополнительную проверку. Скопировал все файлы к себе на компьютер, запаковал в архив и с помощью virustotal проверил вначале архивом. Но и этого мне показалось мало, и я проверил весь сайт на вирусы с помощью следующей функции сервиса-это добавляя адрес сайта.
В результате ничего подозрительного выявлено не было. Я не сомневался в этом потому что отслеживаю периодически эти моменты.
Вылечить сайт от вирусов можно и вручную, но это для любителей работать ручками и копаться в файлах в поисках вредоносного кода или подозрительного файла. Об этом в другой раз. Если конечно это интересно, оставляйте комментарии.
Источник
Вирусы на сайте? Заблокировал хостер? Спам-рассылка? Оперативно вылечим и защитим ваш сайт.
Возьмем ваш сайт на сопровождение под постоянную защиту от взлома, веб-атак.
Установим защиту от веб-атак, предотвращающую взлом и заражение вирусами.
Профессионализм
Более 15 000 успешно вылеченных и защищенных от веб-атак сайтов на виртуальных (shared) хостингах и VPS серверах.
Гарантии и прозрачность
Предоставление гарантий на все услуги, работа по договору, фиксированный прайс.
Опыт и технологии
Собственная технологическая база и уникальная 7-летняя экспертиза в области безопасности сайтов.
«Ревизиум» — российская компания, специализирующаяся на комплексной безопасности сайтов для малого и среднего бизнеса, входит в состав группы компаний CloudLinux.
Ведущий разработчик бесплатных антивирусных инструментов для комплексной диагностики сайтов на предмет взлома и вирусного заражения.
Подробнее…
Специалисты отдела «Безопасности сайтов»
Григорий
Мария
Алексей
Александр
Дмитрий
Виталий
Наши разработки
Продукты Компании
1CloudScan.Pro
Облачный антивирус CloudsScan.Pro: автоматическое лечение сайтов в один клик, работа по FTP, SSH, проверка архивов, удобная веб-панель и REST API для автоматизации.
Подробнее…
2Антивирус для ISPman
Уникальный антивирус для хостинг-панели ISPmanager Lite. Полнофункциональный бесплатный сканер вредоносного кода в файлах, автоматическое лечение в один клик, проверка сайтов по расписанию.
Подробнее…
3Антивирус для Plesk
Уникальный антивирус для хостинг-панели Plesk Onyx. Полнофункциональный бесплатный сканер вредоносного кода в файлах, автоматическое лечение в один клик, проверка сайтов по расписанию.
Подробнее…
4Revisium WAF
Эффективная проактивная защита для защиты сайта от взлома и веб-атак, которую можно настроить на любом shared-хостинге с поддержкой php и, конечно, на любом VPS сервере.
Подробнее…
5Сканер AI-BOLIT
Запатентованный бесплатный сканер вирусов и других проблем безопасности в файлах и скриптах сайта. Сканер AI-BOLIT позволяет оперативно проверить сайт на вирусы и взлом даже начинающему веб-мастеру.
Подробнее…
6ReScan.Pro
Сервис выполняет комплексную проверку сайта на вирусы, скрытые редиректы, вредоносные загрузки, опасные виджеты, недобросовестную рекламу и блокировки сайта антивирусами и поисковыми системами. Уникальные технологии динамического и поведенческого анализа позволяют обнаруживать даже скрытое шпионское ПО на страницах.
Подробнее…
Подробнее…
Заказать лечение или защиту сайта
Заполните форму ниже для заказа лечения сайта или услуги превентивной защиты. Наш менеджер ответит вам в течение нескольких минут на указанный email.
Источник
