Brute force (брутфорс)

Если программа позволяет что-то сделать недокументированное (даже, если Вы об этом никому не сказали), готовьтесь – обязательно найдётся человек, который залезет в эту «дырочку». И это полностью Ваша вина. Так и с сайтами – есть ошибки – «жди любопытную кошку». Поэтому, держу за правило – делай обновления вовремя.

 

От попыток взлома никто не застрахован. Это доходный бизнес. И, если с Вас взять нечего, всё равно, Ваш сайт вполне сгодится для bot-сети. И, если не Вы, то кто-то другой начнёт использовать его в своих интересах. Как сказал гениальный В.Маяковский: «Послушайте! Ведь, если звезды зажигают – значит – это кому-нибудь нужно?».

 

Но, предположим, что у Вас всё в порядке и сайт «дырок» не содержит. Тогда будут подбирать пароли. Обычно, те, кто это делает, запускает некоторые скрипты «на все случаи жизни». И тогда, в логах (для Drupal: Главная » Управление » Отчёты » Недавние записи в системном журнале) можно увидеть попытки открытия ссылок типа:

 

/phpMyAdmin                      – попытка зайти через phpMyAdmin

/wp-admin.php                     – в администрирование для WordPress

/administrator/index.php        – для Joomla

 

Имена могут быть и изменёнными. Это связано с тем, что более опытные администраторы стали менять названия этих «пакетов» и файлов. Взломщики тоже стали импровизировать.

 

Как я уже сказал, взломщики часто пытаются использовать «дыры» в программном обеспечении. Это чётко видно по попыткам запуска каких-то (обычно java) скриптов для установленных модулей, создания коллизий. По попыткам просканировать Ваши каталоги (Crawler-bot-ы), найти возможность загрузить Вам файлы с последующей попыткой их записи.

 

Здесь лучшая стратегия: не давать никому ничего записывать (кроме узкого круга доверенных пользователей); чётко следить за правами на каталоги и файлы, за правами доступа к разделам сайта и пользования модулей; вовремя обновлять модули. А главное правило – следить за «мусором» - не держать неиспользуемые файлы и модули. Ружьё, висящее на стене – обязательно выстрелит.

 

Надо быть бдительным и с другой стороны: в последнее время интенсивно развивается фишинговый спам от якобы-хостеров. Как правило, такие письма выглядят идентично официальным, но главное их отличие – это просьба (под разными предлогами) пройти по ссылке из письма в панель управления. Никогда этого не делайте! И всегда проверяйте такие письма на предмет отправителя. Причем, смотреть нужно не на поле "От кого", а в свойствах самого письма. По большому счёту – нормальный хостер не станет требовать зайти по прямой ссылке, а просто скажет куда зайти.

 

Хорошо, с прямым вредительством разобрались. А, вот, из-за непрямого я – с пол года назад – попал в неприятную ситуацию. Дело в том, что как и всякий нормальный сайт, Mustang-Soft разрешает оставлять комментарии. В том числе и гостям (анонимным пользователям). А здесь появляется «поле для манёвра». Недобросовестные комментаторы оставляют ссылки с рекламой, на разные форумы и сайты, ссылки на «весёлую продукцию». Особенно вредно – последнее.

 

Зайдя на некоторый сайт, я обнаружил, что Mustang-Soft попал в «чёрный список» неблагонадёжных сайтов. Списавшись с администрацией, узнал что, скорее всего, дело из-за комментариев. Действительно, в некоторых из них были «вкладыши». И только проведя «дезинфекцию» – сайт был исключён из «позорного листка».

 

Хуже всего, сайт реально «выпал» из Яндекса (но, а в Google всё находилось «на ура»). И, хотя, на webmaster.yandex у меня всё было в порядке (Яндекс о своих решениях не сообщает), многие страницы были помечены, как неблагонадёжные (опять же, узнал об этом непрямым способом), количество ссылок в поисковике «заморозилось», и робот перестал заглядывать. Чтобы Яндекс «ожил» - потребовалось около полугода. Да, в конце августа этого года Яндекс-робот стал забегать «на огонёк» и, я надеюсь, ему понравится.

 

Так что же с комментариями? Несомненно, можно (и я сделал почти всё, что смог) настроить спец. обработку сообщений (есть такое дело в настройках модулей). Но, это не панацея. Всё равно, есть способы обойти защиту и сделать «закладку». Поэтому, на сайте по-прежнему остаётся режим премодерации для гостей (анонимных посетителей). Не обессудьте, если Вы гость – Ваше сообщение появится не мгновенно. Кроме того, постоянно (надеюсь, ненавязчиво) работает модуль каптчи.

 

О блокировке IP-адресов. Не смотря на то, что многие считают, что блокировкой неблагонадёжных адресов должны заниматься хостеры – я это решаю самостоятельно. «На других надейся, а сам – не плошай.» Тройка любимых «проверочных» сайтов:

 

Последний очень хорошо отлавливает Crawler-боты. Если, с какого-либо адреса делаются непонятные запросы, а в инете в чёрных списках его нет – смело его добавляю. Просто, возможно, Вы первый, кто подвергся атаки. Со StopForumSpam это происходит часто. Например, я такого-то числа уже успел пометить адрес на блокировку, а StopForumSpam может ещё с неделю считать его «чистым». А потом поместить его в список «задним числом». Ну, «от добра – добра не ищут».

 

Некоторые адреса, с которых осуществляются попытки взлома – не попадают в списки. С чем это связано? Обычно, для взлома используются ранее взломанные компьютеры (мобилки и пр.). Часть из них  – в солидных организациях (а их никогда не поместят в списки неблагонадёжных). Нет, конечно, ещё бывают хакеры-одиночки, но всё уже давно не так… Сейчас для этого используются bot-сети, в большинстве своём – «спящие» (запускаются несколько раз в год). Именно по этому, я блокирую IP-адреса с подозрением на рассылку спама где-то на месяц (спам надо слать регулярно), а адреса, с которых были попытки взлома (даже раз) – на большие сроки. Не все пользователи лечатся от вирусов, особенно если они «не мешают».

 

Особая проблема – это диапазоны мобильных операторов. В настоящий момент, вынужден почти полностью «вырубить» диапазоны мобильных операторов на Украине и в Китае. Так же, страдают большие области французских, североевропейских и российских операторов. Тут я стараюсь действовать выборочно. Но всё же… На войне, как на войне. Конечно, эти действия уменьшают поток посетителей. Но мне нужны нормальные читатели, а не боты. Найду какие-то новые хорошие решения – всё разблокирую. Ведь сейчас всё больше тех, кто читает с мобилок, айфонов и айпадов.

 

Так что, всё будет хорошо. Вам понравится.

 

 

 

 

      В последнее время при работе с сайтом StopForumSpam появились некоторые неудобства:

1. Для борьбы со спамерами, они ввели минимальную паузу между запросами.

2. После большого числа проверок, он может (без всякого предупреждения) переставать проверять вводимую информацию, что проявляется в том, что ранее установленный неблагонадёжный адрес тут же становится благонадёжным.

 

      На сайте MyIP.MS (My IP Address) с целью монетизации своих данных (обосновали борьбой со спамерами) ввели регистрацию. Несколько проверок можно провести без регистрации (около 5). С регистрацией можно около 10. Цифры примерные, т.к. это зависит от "настроения" сайта. Больше можно, если подписаться на услуги или поставить дополнительные модули на свой(и) сайт(ы).

      Это они, конечно, зря сделали, т.к. обход ограничения вполне можно найти. И я им пользуюсь :).

 

      Совсем недавно открыл ещё один полезный сайт: http://cleantalk.org. Работает также скоро, как и StopForumSpam, пока нет ограничений, но база чуть меньше.

 

      Удачи!