Взломали мой сайт. CTB-Locker или Cryptolocker

  Александр Маврин   18 комментариев

Хакер за ноутбуком пишет кодПривет, друзья. Я дико негодую и для этого у меня есть причины. Я как-то уже писал о том, что хакер залез в мой компьютер и тогда это доставило мне много мороки, были украдены деньги со счетов, которые потом вернули и разрешилось все в итоге благополучно. Но сейчас у меня совсем другая история, взломали мой сайт, который, кcтати, работает на WordPress, зашифровали на сервере почти все файлы и требовали выкуп за расшифровку $150. А теперь обо всем по порядку.

Не так давно, а именно 12 февраля, зайдя на свой блог, чтобы убедится, что он доступен в сети, обнаружил, что с него идет редирект, то бишь переадресация на весьма странную страницу, прочитав текст на которой, я, мягко говоря, был сильно удивлен. И в голове возникли сразу 2 мысли, первая, что опять взломали сайт и вторая — что делать. Я успел сделать скриншот. Так выглядит эта страница.Страница-вымогатель CTB-Locker

Обратите внимание на то, что стоит ссылка на статью, в которой, якобы ФБР, советует просто заплатить, если ваш сайт взломали. Кстати, многие этому и следуют. К примеру, если это крупный интернет-магазин или сервер баз данных и информацию другими способами восстановить не удается. Вторая часть скрина.Страница-вымогатель CTB-LockerМой сайт взломали предположительно с помощью sql-инъекции (sql injection), и нужно было реагировать быстро, естественно не платить никаких денег и делать все самостоятельно, без программ и бесплатно. Подключаюсь по FTP и вижу, что есть левые файлы в корневой папке. Удаляю, захожу на сайт — не работает! начинаю проверять Files, скачиваю их на компьютер, смотрю, все зашифровано и что-либо прочитать невозможно. Это сделал так называемый CTB-Locker или Сryptolocker, который шифрует все 128-битным ключом и расшифровать это или найти декриптор самостоятельно не получится. По крайней мере я ничего подобного не нашел. Обычно его запускают на Windows. Сейчас этот скрипт уже можно назвать бизнес-проектом и стоит он, по слухам, $1000. Антивирусы его не могут определить.

Что ж, мой сайт взломали и немного погуглив решил восстанавливать все из бэкапа. Но к удивлению обнаружил, что функция резервного копирования почему-то была отключена и волосы на голове зашевелились. ведь на компьютере был backup от 2013 года! Выбора не оставалось. служба поддержки хостинга помочь не смогла и нужно было что-то делать. Ведь это не тот случай, когда взломали страницу одноклассники или вконтакте, когда можно обратиться к администратору, здесь все совсем иначе.

Что делать, если взломали сайт

Если ваш веб сайт уже взломали, не важно Вордпресс это, Joomla, DLE или Друпал, то нужно восстанавливать все из бэкапа. Как не странно, но мне в этом дополнительно помогли Google, Yandex и веб архив. Из их кэша приходилось доставать некоторые изображения, Javascript и CSS код, которые были утеряны.Сохраненная копия из кэша гуглаСамо собой везде, где только можно меняйте логин и пароль иначе у того, у кого получится взломать сайт, он сможет стать админом буквально за 5 минут.

Когда происходят подобные вещи, ты невольно становишься более подкованным в вопросах безопасности Однажды, были обнаружены вирусы и пришлось тоже повозиться.

Как обезопаситься от взлома сайта

  1. Регулярно менять пароли (админки, панели управления, FTP)
  2. Не переходить по «левым» ссылкам
  3. Не качать подозрительные файлы (проверять их на вирусы)
  4. Всегда, вы слышите, всегда делайте резервную копию и храните ее в разных местах

P.S. Мне пришлось переехать на другой сервер. После начала восстановления вредоносные скрипты продолжали заливаться, поэтому принял кардинальные меры. Сейчас пока все в порядке. Желаю вам не знать подобных неприятностей и в то же время быть на чеку и позаботиться о максимальной защите. А если есть те, у кого тоже взломали сайт, то расскажите в комментариях как вы с этим справлялись.

Не стесняйтесь делиться записью в социальных сетях. Спасибо

18 комментариев
  1. Виктория:

    Спасибо за предупреждение. Мой сайт пока «в процессе», но рекомендации учту непременно. Я наивно была уверена,
    что эти проблемы должны решать те, кто предоставляет хостинг.

    • Александр Маврин:

      Я арендую сервер и support мне ответил так:
      support-ask
      Возможно на обычном хостинге и помогут, но не факт.

  2. Васима:

    Спасибо за интересную статью, полезные советы! Я думаю, что об этом должно узнать как можно больше человек. Если хотите, я могу поделиться с вами секретами продвижения вашего блога и увеличения числа ваших постоянных читателей.

  3. У меня тоже есть статья на счет вируса как я его удалял.

  4. Взломали как-то хостинг клиентов, потом взломали и мой аккаунт, хостинг Джино. Узнал случайно, стали жаловаться люди что аваст блокирует сайты, так как сам виндой уже год не пользуюсь, то антивируса у меня нет, да и вирусов тоже, проверяю всё еженедельно, так как на моём аккаунте есть и клиентские сайты, но антивирус ничего не нашел, проверил ещё десятком антивирусов — чисто, тогда написал в аваст — ответили сразу, прислали скрин вредоносного кода.
    Полез искать, нашел в хедере, небольшой скрипт, обычный редирект, удалил его — через пару дней -снова та же беда.
    И тут я вспомнил про ФТП. Блииин, я и забыл про его существование, так как пользуюсь всё время файловым менеджером хостинга, даже тоттал коммандер удалил. Закрыл доступ по ФТП — всё чисто.

  5. Евгений:

    Здравствуйте! Интересно пишите свой блог.Вам надо привлечь как можно больше читателей, чтоб делиться информацией;)Я тоже знаю кое какие фишки могу поделиться!
    Успехов!

  6. Павел:

    Спасибо за предупреждение!

  7. Error:

    CTB-Locker стало сложнее изучать, поскольку зловред получил новые свойства, мешающие специалистами работать с ним.

  8. Привет всем! Очень интересная тема и важно знать как уберечься от этой «каки». Скажите пожалуйста: плагин безопасности All In One WP Security может уберечь от нее?

  9. Так ТС узнает, зачем нужно скачивать бекапы себе на комп, проверять их и хранить на отдельных дисках…

  10. Здравствуйте! Пару месяцев назад тоже столкнулся со взломщиками, правда всё обошлось куда проще и частично помогли восстановить сайт хостеры (Хостинг Unihost). Так вот. Регулярно менял пароли, по ссылкам «налево» не ходил и вёл спокойно-активный образ жизни обычного фрилансера. Однако же спустя полгода после запуска сайта (это уже 4 месяца назад) стал замечать приходящие уведомления о попытках подбора пароля, немедленно повторил процедуру смены пароля (установил пароли более чем 20 символов каждый). И 3 месяца назад захожу сначала на почту и вижу письма от яндекс и гугл вебмастеров: Ваш зайт заблокирован по причине обнаружения ботом на нём вируса. Захожу — Троян какой-то там. Проверяю через фтп где такой файл, который был указан, как инфицированный, и не нахожу его (!). Опять же подсказал Яндекс — помогла утилита для обнаружения вирусов сайта, предоставляемая им. Полностью прочистил сайт, оказалась, что заражены были 99% файлов сайта и покорёжен абсолютно весь код. Думаю: «Сейчас открою резервку и восстановлю». Проверяю — все (!) резервки за год просто испорчены и заражены. В печали обращаюсь к хостеру: «Мол так и так». Они посмотрели у себя в бекапах и всё-таки нашли нормальный чистый бекап, который создан был за 2 недели до заражения. В итоге сайт восстановили, пароли снова перепоменяли и всё снова заработало. Ибо если бы хостеры не смогли помочь, то пришлось бы всё заново писать с версии от года назад. Итог один: Полностью обезопаситься и быть уверенным в своей защите быть просто невозможно. Кому надо — взломают, даже если не сразу, то попыхтя. Вот такая история 🙂

    • Александр Маврин:

      Я понял одно, лишний раз перестраховаться не помешает, поэтому у меня теперь 3 бэкапа, которые делаются ежедневно. На сервере, в облако и на компьютере.

  11. Спасибо за рекомендации. Советы дельные пишите. По чаще к вам буду заглядывать.

  12. Сейчас, после всех историй со взломами делаю так: проверяю сайт сканером, онлайновым и сканером хостинга. Потом в папке каждого сайта если сканер показывает что всё чисто делаю архив со всеми файлами. Если даже будет заражение зиповский архив не пострадает.
    Просто удаляете все файлы и распаковываете архив в капку сайта.
    Можно конечно чистить ручками, но долго, муторно, да и если долго возиться, пока почистите одно, вирус может появиться в другом месте, при чистках заметил, такую особенность к активному размножению

    У меня на хостинге были сайты на WordPress и imagecms — заражены были все, досталось даже лендингам на HTML, у знакомых была та же ситуация один в один, но там Drupal и ModX, так что тут дело не в движке.

    В корне хостинга или сайта, в служебных папках хостинга нужно также смотреть внимательно, там может быть файл совсем не вирусный, но позволяющий получить доступ к файлам, при помощи которого заливаются сами вирусы. При чистке одного аккаунта на хостинге в одной из папок нашел скрипт, который давал возможность доступа к к папкам и файлам под своим паролем ( вражеским ) и злыдень мог спокойно работать со всеми папками и файлами хостинга. Вируса там не было, обычный скрипт, открыл его в браузере — страница авторизации, заходи, делай что хочешь так что помимо зараженных файлов нужно искать ещё и файлы нетипичные для сайта или хостинга

  13. Александр, Вы писали, что деньги Вам вернули? Как так получилось? Ведь это практически не возможно. Расскажите, если не секрет. iThemes Security плагин не используете?

    • Александр Маврин:

      Этот горе хакер переводил деньги на свой кошелек. Я ему сказал, что сообщу куда следует. Нет, плагин не использую.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *