1. Вы находитесь в архивной версии форума xaker.name. Здесь собраны темы с 2007 по 2012 год, большинство инструкций и мануалов уже неактуальны.
    Скрыть объявление

Кошмар сайтовладельца начинается довольно стандартно

Тема в разделе "Статьи на хакерскую тематику", создана пользователем incode, 19 май 2012.

  1. incode

    incode Banned

    Регистрация:
    19 мар 2012
    Сообщения:
    0
    Симпатии:
    2
    Баллы:
    0
    Кошмар сайтовладельца начинается довольно стандартно. Запустив браузер и зайдя на свой сайт для размещения новых материалов или ответов на форуме, он видит не привычную главную страницу, а хулиганскую картинку или глумливое сообщение. По прямому адресу «админки» висит то же самое, а FTP-клиент отказывается заходить на аккаунт, сообщая о неверном пароле.

    Имя этому кошмару — «взлом сайта», то есть получение к его содержимому несанкционированного доступа со стороны третьих лиц. Что они сделают с ресурсом в этом случае, зависит уже от их желания. Это счастье, если они ограничатся только «дефейсом» — порчей главной страницы. Ничто не мешает взломщикам закачать на сайт скрипт массовой рассылки почты — и тогда источником спама и угроз будет считаться этот самый ресурс, так как именно его адрес окажется в служебной информации писем. Возможно и использование сайта для хранения запрещенного контента. Если же на нем имеются закрытые разделы, то придется быть готовым к тому, что информация и фотографии оттуда вскоре появятся на множестве других сайтов Интернета без всякого вашего на то согласия...
    Между тем риск таких последствий вполне можно снизить до незначительной величины. Достаточно лишь понимать причины и суть угроз и уметь им препятствовать.

    Угрозы
    Способов взлома сайта на самом деле не так уж много. Их можно разделить на три группы.
    Взломщик может захватить контроль над самим веб-сервером, на котором расположен сайт. Если последний размещен на условиях хостинга (т.е. на одном веб-сервере находится сразу множество сайтов), то при таком способе взлома угрозе подвергаются все ресурсы, расположенные на этом хостинге. Однако вероятность подобного взлома невысока — компании, предоставляющие подобные услуги, обычно хорошо заботятся о безопасности своих ресурсов.
    Взломщик может узнать у владельца сайта или его администратора авторизационные данные для доступа к сайту (логин и пароль к FTP-акка-унту или к управляющей панели) и воспользоваться ими для изменения сайта или похищения с него информации. При этом никакие системы безопасности самого ресурса не смогут ему воспрепятствовать: для них действия взломщика будут абсолютно законными, так как выполняются после легального прохождения авторизации. Получить логины и пароли для работы с сайтом взломщик может как с помощью социальной инженерии (попросту каким-либо образом выведав их у администраторов), так и с помощью атаки на те компьютеры, где эти данные могут быть сохранены (последнее зачастую выполняется посредством троянских программ) или перехвата передаваемых данных.
    Получение доступа к сайту посредством уязвимостей в программном обеспечении. Если на сайте установлены какие-либо программные пакеты, код которых выполняется на веб-сервере (например, система управления контентом — CMS, форум или чат, картинная галерея, интернет-магазин), то они всегда потенциально опасны с точки зрения взлома. Если в программном комплексе есть уязвимость, то взломщик с помощью хитро составленного запроса к сайту может узнать пароли для управления сайтом или форумом, а то и разместить на сайте свою программу, которая позволит загружать на сайт свои файлы, удалять и менять любые данные.
    Однако против каждой из этих угроз есть своя защита, которую нужно грамотно применять.

    Защита
    К сожалению, для защиты от первой угрозы владелец сайта может лишь удачно выбрать сервис хостинга, владельцы которого приняли все меры для предотвращения взломов своего ресурса. Непосредственно противостоять взломщику в этом случае не удастся. Однако tS при наличии каких-либо серьезных потерь вполне реально предъявить ком-пании-хостеру претензии и добиться возмещения ущерба, если, конечно, в лицензионном соглашении с компанией не было строк об отказе от всех возможных рисков и претензий.
    В процессе выбора надежного хостинга основную помощь окажут различные ресурсы Интернета, прежде всего форумы и блоги, в которых всевозможные проблемы надежности и качества разных компаний обсуждаются вполне открыто и остро. Достаточно сделать запрос к поисковой системе по названию компании или адресу ее сайта, чтобы познакомиться с отзывами ее клиентов. Стоит помнить, что отсутствие положительных отзывов можно считать нормой: люди охотно высказывают свое недовольство, но не спешат с благодарностями.
    Чтобы избежать воровства паролей на доступ к управлению сайтом, достаточно соблюдать некоторые правила компьютерной безопасности. Они не слишком сложные, но весьма важные.
    Первое правило очевидное, но, увы, нередко игнорируемое — надежно беречь пароли. Коды доступа к панели управления сайтом и к FTP — это строго секретная информация, которую не следует записывать на теряющихся листочках, приклеенных к монитору, или в текстовом файле на Рабочем столе. Если при заказе или настройке хостинга пользователю предоставляется возможность самому ввести пароль, то следует приложить все усилия, чтобы эту комбинацию было легко запомнить, но сложно подобрать.
    [​IMG]

    Продолжение здесь
     
    Последнее редактирование: 19 май 2012
    1 человеку нравится это.

Поделиться этой страницей