На днях вышел обновленный анализ от антивирусной компании Sucuri скомпрометированных сайтов, в котором представлена статистика по 9771 зараженному сайту. Данные сравниваются с предыдущим значением квартала и показываются некоторую тенденцию.
Изучим для начала какие CMS популярны для взлома, следующий график наглядно отображает ситуацию:
Как видно, Wordpress далеко оторвался в этом плане от соперников, на втором месте вполне предполагаемо находится Joomla. Не обходят стороной вирусы и коммерческий движок магазинов Magento, сайты на Drupal, форумы vBulletin и вебсайты ModX. Не остаются в стороне и менее популярные и самописные системы управления сайтом.
Устаревшая версия CMS как причина взлома сайта
Многие помнят декабрьскую уязвимость джумлы, после которой миллионы сайтов оказались под угрозой вирусной атаки. Однако даже спустя почти год, когда многие хостинги залатали эту дыру на серверном уровне, всё равно хватает запущенных сайтов, которые до сих пор не обновились или не поставили патч безопасности.
Именно поэтому большинство заражений на Joomla связано с уязвимой версией цмс на сайте. Если же рассматривать вордпресс, то в последних версиях была внедрено автоматическое обновление без участия вебмастера. В совокупности с отсутствием настолько критичных уязвимостей, процент взлома на Wordpress из-за старой версии намного ниже, чем на джумле.
На менее популярных CMS ситуация аналогична Joomla:
Как видим, Magento почти во всех случаях взламывается уязвимостями предыдущих версий. У друпала раньше было много проблем с безопасностью ядра, однако последние версии уже стали более стабильными.
Уязвимые плагины Wordpress
Исходя из того, что более 2/3 сайтов инфицированных сайтов были на Wordpress, Sucuri более детально рассмотрела и изучила уязвимые места этой системы.
Само прискорбно, что большинство уязвимостей были прикрыты более как год назад и давно были выпущены обновления безопасности, однако это не помешало настолько забросить множество сайтов и не установить необходимые заплатки. К примеру, самым частым вариантом уязвимости плагина оказалась дыра в Revslider, приблизительно одинаковое количество дырявых сайтов оказались с устаревшими TimThumb и Gravity Forms (AFU). Дыра в в плагине миниатюр была исправлена в 2011 году, но халатность вебмастеров позволяет хакерам разгуляться вволю на запущенных сайтах.
Популярность плагинов для вордпресс становится целью поиска уязвимости для злоумышленников. Можно вспомнить недавнюю дыру WP Mobile Detector - это пример опасности следов версий плагинов.
Ниже будет представлена статистика установленных плагинов на изучаемых сайтах:
Лидируют предустановленные расширения на вордпрессе, хотя многие избавляются от них как от мусора.
Как хакеры используют взломанные сайты
Напоследок рассмотрим характер проявления взломов. Большинство сайтов после взлома заражаются бэкдорами - файлами, которыми впоследствии можно управлять сайтом и заражать по новой. Взломы сейчас стали более прогрессивными, после взлома некоторое время на сайте нету вирусной активности - это делается для того, чтобы логи и бекапы перезаписались уже на зараженные версии и было тяжело определить как причину вредоносного кода, так и откатить на чистую копию.
Обратимся к статистике антивируса:
Ниже я расшифрую, что подразумевают под собой эти разновидности вирусов.
- Backdoor (бекдор) - как мы уже выяснили файл для дальнейшего перезаражения и управления сайтом
- Malware - различный вредоносный код, который генерируется на стороне браузера и предоставляет опасность для заходящих на сайт
- Spam-SEO - ещё называют дорвеями, набирающий в последнее время популярность черный метод раскрутки сайтов. Генерирует тысячи посторонних страниц, которые моментально индексируются поисковиками, переводя в итоге траффик на посторонние сайты
- Hacktool - скрипт для атаки других сайтов с целью взлома или DDOS
- Mailer - отправка спама с использованием ресурсов хостинга
- Defaced - удаление сайта или замена страниц либо главной на другую, обычно с минимальным текстом, кем было взломано
- Redirect (редирект) - перенаправление посетителей на другие сайты. Более подробно про разновидности редиректа
- Phishing (фишинг) - Кража личных данных как пароли, кредитные карты и другая ценная информация
В заключении скажу, что уязвимое программное обеспечение по прежнему создает большое количество проблем. Именно поэтому не ленитесь следить за безопасностью своих сайтов.