Как взломать интернет магазин

«Помогите! Мой магазин взломали и вымогают деньги!» – сравнительно редкое обращение, поступающее в нашу компанию, на фоне других проблем безопасности, с которыми приходят владельцы интернет-магазинов. В то же время такие запросы имеют место быть, и в последнее время мы получаем их все чаще, в связи с чем и решили написать небольшую инструкцию, как действовать владельцу e-commerce проекта, если на его сайте закрепился хакер.

Взлом сайта с целью шантажа всегда намного «болезненнее» по сравнению с другими нечестными способами монетизации атакованных веб-проектов, когда хакер не выходит с владельцем сайта на связь, а только удаленно и обезличенно монетизирует или эксплуатирует его интернет-магазин – рассылает спам, ворует трафик, редиректит мобильных пользователей на платные подписки и пр.

В последних случаях хозяин онлайн-магазина испытывает ненависть к злоумышленнику и огромное желание наказать хакера по закону. В случае с вымогательством владелец сайта испытывает страх, ведь он сталкивается с настоящим шантажистом, нередко «серийным», который умеет грамотно надавить на слабые места, запугать свою жертву и заставить пойти у него на поводу – откупиться.

Очевидно, что для злоумышленника интернет-магазин – лакомый кусок пирога, ведь это не просто сайт, а целый бизнес, владелец которого готов на многое, лишь бы сохранить свой ресурс в рабочем состоянии.

Шантажист атакует

На связь с жертвой злоумышленник выходит сам, отыскав контакты владельца на сайте или в соцсетях. Действовать хакер будет, естественно, с подставных адресов или профилей. Иногда злоумышленники просто ставят на сайт «заглушку» со своим контактными данными. Вместо главной страницы сайта открывается такая печальная картина:

Рис.1 «Заглушка»

Первое сообщение от злоумышленника может выглядеть вполне дружелюбно, якобы он обнаружил критическую уязвимость на сайте и готов за небольшое вознаграждение избавить нерасторопного владельца сайта от ненужных проблем.

Это первый сигнал, что с безопасностью сайта что-то не так, но его владелец вместо того, чтобы сразу обратиться за квалифицированной помощью, пробует решить проблему своими силами: меняет пароли от CMS, FTP, панели управления хостингом, откатывает сайт до более ранней версии, когда проблемы безопасности вроде никакой и не было. В сложившейся ситуации данные действия уже не достаточные для решения проблемы.

Злоумышленник тем временем терпеливо наблюдает за происходящим, и когда все маневры на стороне владельца магазина завершены, снова пишет ему письмо о том, что на сайте присутствует уязвимость, что он по-прежнему сохраняет контроль над ресурсом и готов помочь.

Отмахнуться от надоедливого попрошайки второй раз получится едва ли. Хакер будет действовать более настойчиво, и для демонстрации своего контроля над магазином внесет какие-то изменения на его страницах – поменяет/удалит изображения, добавит надпись, а иногда просто удалит всю базу данных. И если владелец сайта продолжит отказываться от навязчивой «помощи», игра в «робин гуда» резко прекратиться, и хакер довольно жестко выдвинет четкие требования – «вы платите мне деньги, и в этом случае я оставляю ваш сайт «в живых», иначе…»

Читайте также:  Где удалять историю в яндексе

Рис.2 «Переписка с вымогателем»

(предоставлена клиентом нашей компании)

Взволнованный владелец сайта часто готов заплатить вымогателю указанную сумму. Делать этого по объективным причинам ни в коем случае нельзя. Во-первых, нет гарантии того, что человек, который является шантажистом, поступит с вами честно – не уничтожит сайт после получения денег или не попросит еще больше? Ведь вы имеете дело с обычным хулиганом, только действия которого переместились из офлайна в онлайн, но внутри – он все та же беспринципная трусливая натура, «старый добрый» аналог которого в прошлом размахивал ножом в подворотне, вымогая у прохожих телефон или кошелек.

Ну, а, во-вторых, компетенции такого «веб-мастера» тоже под большим вопросом – какие уязвимости он закроет и каким образом это произойдет – об этом стоит только догадываться. В конце концов, знаний и навыков заработать честным путем у этого «веб-мастера» не хватило.

Что делать, если сайт-взломан и хакер требует денег

Если вы попали в такую ситуацию, но все-таки не уверены, серьезны ли намерения вымогателя или он просто пытается вас запугать – не рискуйте. Обратитесь сразу к профессиональной команде по лечению и защите сайтов от взлома – к компании с проверенной репутацией. Пусть специалисты оперативно проведут аудит и установят эффективную защиту от взлома. Не ищите помощи на форумах, не занимайтесь самолечением. Непрофессиональная, дилетантская помощь только усугубит ситуацию. Помните, «плохой парень» на другом конце провода готов не моргнув глазом уничтожить ваш веб-проект. Кроме того, чем раньше вы обратитесь за помощью, тем больше информации о действиях злоумышленника сохранится в логах.

Если хакер «серьезен» в своих намерениях и дал вам это понять, постарайтесь затянуть с ним беседу, пока прорабатываете варианты спасения своего сайта – интересуйтесь деталями уязвимостей, которые он предлагает вам закрыть. Параллельно проверьте, не забыли ли вы сохранить актуальные резервные копии сайта локально, не на хостинге. Ведь вы точно не знаете, как давно и насколько глубоко хакер закрепился на вашем сайте.

Продолжая общаться с хакером в ожидании скорой помощи, спросите, как вы узнаете, что злоумышленник действительно выполнил работы, а не просто освободил ресурс из заложников. Поинтересуйтесь вариантами перевода денежного «вознаграждения». Опять же попробуйте растянуть время, сославшись на то, что сейчас в наличии такой суммы нет, но в ближайшие часы вы обязательно ее переведете.

Постарайтесь фиксировать все изменения, которые делает хакер на сайте. Главная задача – собрать как можно больше информации о вымогателе и его действиях, чтобы передать ее специалистам по информационной безопасности для работы с сайтом и соответствующим компетентным органам для работы с правонарушителем.

Ну, и в заключении хотелось бы еще раз сказать, что заботиться о защите своего веб-проекта нужно заранее.

Как снизить риски взлома и заражения своего сайта

Для того чтобы минимизировать риски возникновения неприятных ситуаций, связанных со взломом своего веб-ресурса, необходимо следовать правилам комплексной безопасности.

Комплексная безопасность сайта состоит из двух важных компонентов: технических средств защиты и организационных мер.

  • проактивная защита сайта: WAF (Web Application Firewall) в CMS; плагины безопасности; внешний WAF, блокирующий «плохой» трафик, идущий на сайт;
  • сервис защиты от DDOS;
  • установка на сайт защиты («цементирование»).
  • своевременное обновление ядра CMS и плагинов до последней доступной версии;
  • безопасное сетевое подключение при работе с сайтом (VPN; через доверенные сети; мобильный интернет);
  • безопасное рабочее место (использование коммерческого антивируса на компьютере, регулярные проверки);
  • управление доступами: при работе с подрядчиками предоставление минимальных прав (необходимых для решения задачи) на минимальный срок; смена доступов сразу после завершения работ сторонними специалистами;
  • работа с подрядчиками по договору (выбирать компании, а не фрилансеров);
  • регулярная смена паролей, использование сложных паролей;
  • переход с небезопасного FTP-подключения на более надёжное SFTP;
  • регулярное резервное копирование (хранить копии локально помимо хостинга; хранить несколько копий; выполнять резервирование базы данных и файлов, проверять на тестовом сайте, что из резервной копии можно восстановить сайт и он работает);
  • регулярный аудит безопасности у специалистов (перед публикацией сайта в сеть, после работы подрядчиков) и мониторинг на вирусы (проверка файлов и базы данных на хостинге сканером вредоносного кода AI-BOLIT; проверка страниц сайта веб-сканером Rescan.Pro), мониторинг доступности интернет-магазина и его бизнес-показателей.
Читайте также:  Игра вождение с рулем и педалями

Наиболее частые способы взлома сайтов

По опыту компании «Ревизиум», наиболее частые варианты взлома и заражения сайтов происходят одним из следующих способов (по степени «популярности»):

  1. Взлом через уязвимости в плагинах.
  2. Взлом из-за кражи, перехвата, подбора паролей от админ-панели сайта или FTP.
  3. Взлом по вине подрядчиков: недобросовестные подрядчики или неопытные.

В результате взлома сайтов злоумышленники чаще всего размещают рекламный и вирусный код, дорвеи, рассылают спам, хостят фишинговые страницы, делают дефейс, прибегают к шантажу владельцев интернет-магазинов.

Некоторое время назад, работал я с человеком, который занимался обналичкой кред.
Он мне давал адреса интересующих его шопов, ну а я
соответственно отсылал ему базы за некоторое количество вечнозеленых единиц.
Однажды мне встретился интернет-магазин с perlshop.cgi. запросы он обрабатывал
вот так:

Просматривал я его на работе, так что возможности запустить nmap или ХSpider у
меня не было. Искать исходники скрипта в инете я не стал, оставив это на потом.
Решил проверить насколько корректно обрабатывает запросы скрипт.
Ввожу команду ls в ACTION:

Input ACTION is |ls;
Input ORDER_ID is !ORDERID!
Input REDIRECT_URL is
Input THISPAGE is index.html
Invalid Transmission 3 received from customer IP мой ip
If your connection was interrupted, you must enter the shop from the beginning.
Internal error: Order ID is ‘!ORDERID!’.

Попытался подставить ту же команду в thispage:

и вижу листинг директории cgibin:

CLEAN _borders _private _vti_cnf _vti_pvt agentman.mid badboys.mid banner2z.jpg
catalog cgiemail.cgi contact.htm contact.txt contact3.html customers fade.class
id id1.jpg id2.jpg id3.jpg id4.jpg images log lvletdie.mid mission.mid notes
orders pageflip.class perlshop.cgi plugins pomp.mid print.js ps.cfg ps_cart.pl
ps_checkout.pl ps_clean.cgi ps_create.cgi ps_email.pl ps_plugin_gencal.pl
ps_search.pl ps_transact.pl pscr.cfg pscr.cgi pscr.dat showenv.cgi solo_a.jpg
temp_customers temp_orders tokens waybkgnd.gif

Глаз узрел директории с заманчивыми именами: temp_orders; temp_customers;
orders, а также несколько файлов с интересными именами: pscr.cfg; pscr.cgi; pscr.dat.
Команда cat наотрез отказывалась работать, и тогда я решил просмотреть содержимое этих файлов через браузер:

Читайте также:  Как включить фитнес браслет jet

Команда выдала мне много интересной инфы:

#Location of your Customers Directory
#Path is relative to the directory where
#this script is running
$customer_directory = ‘customers’;
#Address of you server
$server_address = ‘http://www.xxx.com’;
#Directory where the script is located
#Leading slash MUST be present!
$cgi_directory = ‘/cgibin’;
#Address of your secure server
#This address MUST include the path to the cgi-bin directory
$secure_server_address = ‘http://www.xxx.com/cgibin’;
#Path and filename of the password file
#Path is relative to the directory where
#this script is running
$password_file = ‘pscr.dat’;
#Return Page is the html page you want
#loaded when the script ends
$return_page = ‘http://www.xxx.com/index.html’;

#Your Company Information
$company_name = ‘ xxx’;
$company_address = ‘P.O. Box 75156’;
$company_city = ‘Chicago’;
$company_state = ‘, IL’;
$company_zip = ‘30641’;
$company_phone = ”;
$company_fax = ‘847-894-9842’;
$company_email = ‘info@xxx.com’;
$company_http = ‘http://www.xxx.com’;

Естественно внимание привлекла сразу строка: $password_file = ‘pscr.dat’.
Ввожу:

пароль лежал в открытом виде :-). Осталось только его ввести.
Набираю:

и вижу перед собой страницу авторизации:

PSCR Log In
Password:

PSCR 1.1 Beta 1 (perlshop customer reader)
courtesy of Puter-Teks copyright © 2000.
All rights reserved.

Внутри лежало сотни полторы кредиток, ставших хорошим призом к окончанию рабочего дня.

З.Ы. Дыра жива и по сей день, а сам интернет-магазин я продал, потому и не указываю здесь его урл.
Неудобно будет перед его новым совладельцем.

Вы владелец интернет магазина, жизнь прекрасна и замечательна – вы договариваетесь с поставщиками или налаживаете собственное производство. Специально обученные люди или Вы сами занимаетесь продвижением, контекстной рекламой.
Магазин мало-помалу начинает приносить доход и занимать свою нишу в расширяющемся рынке интернет торговли. И становится мишенью.

Петя и Вася продают чехлы для телефонов. Петя вложил душу в магазин, проработал юзабилити-кейс, его user-path мотивирует к покупке. Новые клиенты появляются благодаря грамотно выстроенной рекламной компании, старые лояльно настроены и готовы покупать еще. Петя старался, вложил время и деньги и начинает зарабатывать.

Вася слепил сайт на коленке, украл изображения с Петиного сайта и ждет прибыли. Вернее он ждет клиентов, а их нет. Вася не разбирается в первопричине своей неудачи и винит во всем Петю. Далее события развиваются по нескольким сценариям:

Васе обидно, Вася зол. Вася заказывает DDoS. Но обычно Васин DDoS такой же корявый, как и его сайт и Петя быстро справляется с новой напастью. Вася, спустив карманные деньги на DDoS начинает чесать репу. Денег нет, Петя процветает. Что делать? Украсть заказы/клиентов!

Василий начинает читать тематические сайты и скачивать незнакомые программки. Обращается к соседу Сереже с просьбой о взломе или ищет в интернете:

Реальный пример с одного из «хакерских» сайтов:

Нужно взломать интернет-магазин. Внедрить код. Перенаправлять заказы на нужную почту. Запись о заказе в CMS должна отсутствовать.

Обычно такого рода «взломы» сводятся к фишинговому уводу почты владельца магазина или попытке эксплуатации XSS для увода админской сессии и попадания в админку сайта:

Ссылка на основную публикацию
Adblock detector