Антивирус для сайтов

На бесплатном хостинге для сайтов html в Рег.ру и на платном хостинге можно вылечить сайт при помощи Антивируса для сайтов, который находит заражения в файлах вашего сайта и устраняет их. Он не просто удаляет определенные файлы, а «лечит» их, убирая зараженные фрагменты кода, и дописывает недостающие для работы сайта. Он обнаруживает и устраняет шеллы, бэкдоры, трояны, редиректы и вредоносные коды в PHP, HTML, JS, файлах изображений и системных файлах.

Перед лечением Антивирус для сайтов создаёт актуальные бэкапы файлов, которые будут подвержены лечению. Бэкап файлов записывается в менеджер файлов вашего хостинга. Если лечение вас не устроило, вы сможете восстановить данные из бэкапа.

Антивирус работает в формате платной подписки и имеет два режима:

Обратите внимание:

Для проверки сайта на наличие вирусов перейдите к инструкции: Как проверить сайт на вирусы? Если Антивирус для сайтов обнаружил заражённые файлы:

Некоторые файлы Антивирус для сайтов не лечит в автоматическом режиме. Такие вредоносные файлы требуют ручной проверки разработчиками сайта. Также успешная проверка на вирусы не может гарантировать их полное отсутствие. Ни одна антивирусная программа не способна обнаружить 100% существующих вирусов.

В качестве дополнительной проверки на хостинге Рег.ру настроен мониторинг заблокированных сайтов в Google Safe Browsing. Если ваш сайт обнаружат в списке небезопасных сайтов Google Safe Browsing, на контактный e-mail придёт сообщение с рекомендациями по устранению проблемы.

Что делать, если сайт заражен

Как устранить заражение

Если сайт заражен и вам пришло уведомление о наличии вредоносного ПО на вашем аккаунте:

Почему на моём сайте вирусы?

Частыми причинами заражения сайта являются:

Чаще всего злоумышленники взламывают сайты в автоматическом режиме при помощи специальных программ. Они собирают большую базу сайтов из поисковых систем по определённым критериям (сайты, установленные на популярных CMS и их плагины, подверженные какой-либо известной уязвимости). После этого в файлах сайтов размещается вредоносный код. Поэтому важно своевременно обновлять CMS и плагины. Со стороны хостинга ваши сайты максимально защищены. В случае заражения сайта другого клиента на сервере, ваш сайт будет находиться в безопасности.

Как я могу защитить сайт?

Чтобы оградить сайт от взлома, следует придерживаться простых правил:

Как проверить сайт на вирусы

Если у вас Linux-хостинг от Рег.ру, вы можете проверить сайт с помощью Антивируса для сайтов по инструкции:

В качестве дополнительной проверки на хостинге Рег.ру настроен мониторинг заблокированных сайтов в Google Safe Browsing. Если ваш сайт обнаружат в списке небезопасных сайтов Google Safe Browsing, на контактный email придет сообщение с рекомендациями по устранению проблемы.

Поиск вредоносного ПО на WordPress

В статье описывается процесс поиска и удаления вредоносного ПО с сайта, созданного на WordPress. Вы можете заказать готовый WordPress hosting в Рег.ру или попробовать 14 дней бесплатного хостинга для сайтов WordPress. Также здесь представлены рекомендации по защите сайта от заражения.

Как определить наличие вредоносного ПО?

Поиск вредоносного ПО

Меры безопасности

Как защитить админку сайта

В данной статье описывается процесс установки формы дополнительной аутентификации на определенную страницу сайта. При запросе адреса страницы перед посетителем будет появляться окно ввода логина-пароля. Доступ к странице можно получить только введя корректные значения логина и пароля.

Следующий способ подойдет для WordPress hosting. Попробуйте тестовый период бесплатного хостинга для сайтов WordPress.

Защита админки WordPress на хостинге Linux

Как защитить админку Joomla

Защита админки Joomla на хостинге Linux

Защита админки Joomla на хостинге Windows

Перейдите в папку сайта и добавьте в файл web.config следующие строки:

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <!-- Existing Configuration Excluded -->
    <location path="administrator/index.php" overrideMode="Allow">
        <system.webServer>
            <security>
                <authentication>
                    <anonymousAuthentication enabled="false" />
                    <windowsAuthentication enabled="true" />
                </authentication>
            </security>
        </system.webServer>
    </location>
</configuration>

После применения данной защиты при входе в админку CMS будет появляться дополнительное окно ввода логина-пароля, вам необходимо будет ввести текущие логин и пароль от услуги хостинга (те, с помощью которых вы входите в панель управления).

Как заблокировать доступ к сайту по IP

Блокировка доступа к сайту по ip для хостинга Linux

Для закрытия доступа с определенного IP-адреса добавьте в файл .htaccess, находящийся в корневой папке сайта, следующие строки:

Order Allow,Deny
Allow from all
Deny from 123.123.123.123
Deny from 122.122.122.122

где 123.123.123.123, 122.122.122.122 — IP-адреса, для которых запрещается доступ к сайту.

Узнать больше о методе блокировки.

Для открытия доступа с определенного IP-адреса, добавьте в файл .htaccess следующие строки:

Order Allow,Deny
Order Deny,Allow
Deny from all
Allow from xxx.xxx.xxx.xxx

Вместо xxx.xxx.xxx.xxx укажите IP-адреса, для которых хотите открыть доступ к сайту.

Блокировка подсети IP для хостинга Linux

Если вам нужно заблокировать не отдельные IP-адреса, а подсеть IP-адресов (некий диапазон), сначала определите нужное значение с помощью безклассовой адресации CIDR (калькулятор IP-диапазона в CIDR):

Затем добавьте в файл .htaccess, находящийся в корневой папке сайта, следующие строки:

Order Deny,Allow
Deny from 123.123.0.0/26

где 123.123.0.0/26 — подсеть IP, которую вам нужно заблокировать.

Блокировка доступа к сайту по ip для хостинга Windows

Добавьте в файл web.config, находящийся в корневой папке сайта, следующие строки:

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <rewrite>
            <rules>
                <rule name="Imported Rule 1" stopProcessing="true">
                    <match url="^(.*)$" ignoreCase="false" />
                    <conditions logicalGrouping="MatchAll">
                        <add input="{REMOTE_ADDR}" pattern="123.123.123.123" ignoreCase="false" negate="false" />
                    </conditions>
                    <action type="CustomResponse" statusCode="403"
                                                    subStatusCode="0"
                                                    statusReason="Forbidden"
                                                    statusDescription="Forbidden" />
                </rule>
            </rules>
        </rewrite>
    </system.webServer>
</configuration>

где 123.123.123.123 — IP-адрес, для которого запрещается доступ к сайту.

На моем сайте установлена базовая HTTP-аутентификация

Почему мне установили эту форму

В настоящий момент на ваш сайт проводится Brute-force атака. Brute-force атака — это атака по подбору паролей. В данном случае происходит подбор пароля к административной панели вашего сайта.

Чтобы не допустить взлома вашего сайта и повысить его безопасность, нами была установлена дополнительная защита.

Как я теперь могу получить доступ к админ-панели сайта

Теперь при доступе к административной панели вашего сайта (на Joomla или WordPress) будет появляться дополнительное окно ввода логина и пароля с надписью «please use your control panel password». В качестве логина необходимо ввести логин вашей услуги хостинга, он имеет вид «u1234567». В качестве пароля — текущий пароль к вашей услуге хостинга.

После прохождения базовой HTTP-аутентификации перед вами откроется стандартное поле для авторизации в админ-панели вашего сайта. Теперь уже вам нужно будет ввести логин и пароль администратора сайта.

Как повысить защиту сайта от Brute-force атак

Для повышения защиты вашего сайта мы рекомендуем НЕ использовать стандартные логины администраторов сайта, такие как «admin» или «administrator», а также использовать только сложные пароли.

Для повышения защиты сайта:

Как убрать форму базовой HTTP-аутентификации

Рекомендуем вам не убирать защиту сразу после того, как вы получили сообщение. Brute-force атака может продолжаться длительный промежуток времени.

Чтобы убрать форму базовой HTTP-аутентификации:

<Files index.php>
AuthType Basic
AuthName "please use your control panel password"
AuthUserFile .../users
Require valid-user
</Files>

#<Files index.php>
#AuthType Basic
#AuthName "please use your control panel password"
#AuthUserFile .../users
#Require valid-user
#</Files>

<Files wp-login.php>
AuthType Basic
AuthName "please use your control panel password"
AuthUserFile .../users
Require valid-user
</Files>

#<Files wp-login.php>
#AuthType Basic
#AuthName "please use your control panel password"
#AuthUserFile .../users
#Require valid-user
#</Files>

Что такое Xmlrpc.php для WordPress и как его отключить

Xmlrpc.php в WordPress используется для удаленного доступа к вашему сайту, через сторонние приложения. Данный инструмент появился, когда WordPress только зарождался и скорость интернета не позволяла быстро создавать и публиковать записи на сайт. Существовал офлайн-клиент, в котором администратор создавал и редактировал записи, а затем через xmlrpc.php записи публиковались на сайт.

В 2008 году было выпущено приложение WordPress для iPhone и поддержка XML-RPC была включена по умолчанию, без возможности отключить.

Зачем отключать xmlrpc.php

Одна из важных причин, из-за которой стоит отключить XML-RPC — это угроза безопасности вашего сайта. Злоумышленники часто используют эту лазейку для взлома пароля от админки вашего сайта, а также для DDoS-атаки.

Часто причиной нагрузки на CPU в хостинг панели является нежелательные подключение через XML-RPC, из-за чего работа вашего хостинга может быть приостановлена.

Чтобы отключить XML-RPC выберите нужную инструкцию:

После отключения XML-RPC доступ через xmlrpc.php будет закрыт. Тем самым вы дополнительно обезопасите свой сайт и сможете избежать блокировки услуги хостинга из-за нагрузки на CPU.

Что такое фишинг сайта и как снять блокировку с услуги хостинга

Фишинг — вид мошенничества, целью которого является получение доступа к конфиденциальным данным пользователя: логину, паролю, реквизитам банковских карт.

Что такое фишинг сайта?

Самый распространенный вид фишинга — воссоздание точной копии страниц популярных ресурсов (социальные сети, банки, онлайн-магазины). Такие сайты ничем не отличаются от настоящих, кроме доменного имени. При этом сам домен крайне схож с оригинальным по написанию. Мошенники часто взламывают сторонние сайты для размещения фишинговых страниц и использования чужого трафика. Таким образом могут пострадать пользователи вашего сайта и репутация компании.

Например, после ввода логина и пароля на фишинговой странице сайта может сработать автоматическая переадресация на оригинальный сайт, а введённые данные будут отправлены третьим лицам.

Откуда появляются фишинговые страницы на сайте?

Злоумышленники могут получить доступ к вашему сайту через:

Мы не рекомендуем устанавливать дополнительные расширения из непроверенных источников, так как они могут содержать вредоносные скрипты, генерирующие фишинговые страницы.

Как снять блокировку с услуги хостинга?

Чтобы предотвратить блокировку, вам необходимо найти файлы/части кода на сайте, которые относятся к фишинговым страницам, и устранить их. Также обратите внимание на скрипты, которые могут повторно внедрить фишинговые страницы на сайт.

Рекомендуем:

После устранения вредоносного кода для снятия блокировки обратитесь в техническую поддержку.

Что такое DDoS-атака

DDoS-атака (от англ. Distributed Denial of Service) — распределённая атака, которая создаёт нагрузку на сервер и приводит к отказу системы. При таких условиях пользователи не могут получить доступ к сайту или веб-сервису, а владельцы проектов могут потерять прибыль.

Причиной для отказа системы не всегда является DDoS-атака. Ресурсы сервера ограничены, и если при штатной нагрузке всё работает, то при аномальном скачке могут возникнуть сбои. Если вы накануне запустили на своём сайте акцию или рекламную кампанию, которые вызвали резкий всплеск посещаемости, также могут возникнуть проблемы с доступом к сайту.

Если вы уверены, что сбой на сайте не связан с вашими действиями, читайте ниже, почему на ваш сайт могут устроить DDoS, как происходит сама атака и как с ней бороться.

Почему ваш сайт могут атаковать?

Одна из причин, по которой ваш сайт может подвергнуться DDoS-атаке, — конкуренция. Атакуемый сайт недоступен, так как на него поступает слишком большое количество запросов и он не справляется с нагрузкой. Увидев неработающий сайт, клиент может уйти на доступный сайт конкурента. Если ваш бизнес успешен, а конкуренция на рынке значительна, будьте готовы, что ваш сайт в любой момент может подвергнуться DDoS.

Кроме этого, ваш интернет-ресурс может просто привлечь внимание злоумышленников. Они могут организовать DDoS-атаку ради развлечения, из-за личной неприязни или с целью вымогательства.

По результатам исследования «Лаборатории Касперского», в 2017 году каждая третья российская компания (36%) хотя бы раз подверглась DDoS-атаке. В 2018 году, по сравнению с 2017 годом, количество атак выросло в 5 раз.

Кто осуществляет DDoS-атаки

Хактивисты — политические активисты, которые используют DDoS в качестве гражданского протеста. Согласно отчёту компании Kaspersky в мае 2020 года возросло количество атак на правозащитные организации в США. Количество выросло в 1120 раз и совпало с массовыми протестами.

Anonymous — самые известные представители хактивизма. Это децентрализованная группа хактивистов, в большинстве своём состоящая из пользователей имиджбордов и интернет-форумов. Они известны взломом ресурсов с незаконным контентом и последующей публикацией персональных данных пользователей этих ресурсов. За время своего существования они успешно атаковали сайты Ватикана, Интерпола и Европарламента.

У них даже появился символ — маска главного героя фильма «V значит Вендетта». В этой маске он боролся с режимом.

Маска Гая Фокса в 2008 стала и мемом и символом Anonymous

LulzSec — группа из 6 человек. Появилась в мае 2011 года и просуществовала до 26 июня. За такой короткий срок группировка успела прославиться успешными атаками на серверы Sony, Nintendo, серверы телекомпаний FOX и PBS, а также сайт Сената США. LulzSec прекратили свою деятельность после ареста нескольких членов группировки.

Также нередко под именем известных группировок действуют обычные DDoS-шантажисты. В 2020 году некоторые крупные компании получали угрозы от имени Fancy Bear и Armada Collective — известных хак-групп. Подражатели пообещали устроить атаку на сайт компании, если не получат выкуп.

Какие сайты чаще подвергаются атакам

Чаще других DDoS-атакам подвергаются следующие сайты:

От года к году этот список не меняется. Однако то, какая сфера будет страдать от атак больше, нередко зависит от происходящих в мире в тот или иной период социальных и политических событий. Такую зависимость можно проследить в квартальных отчётах компаний по кибербезопасности.

Как происходит DDoS-атака?

Современный Интернет работает по семиуровневой сетевой модели OSI. Модель определяет уровни взаимодействия систем, каждый уровень отвечает за определённые функции.

DDoS-атака может произойти на любом из семи уровней, но чаще всего это:

Стоит отметить, что DDoS-атаки разнообразны. Разработчики ПО улучшают методы защиты, выпуская обновления, но злоумышленники каждый год придумывают новый способ, чтобы привести систему к отказу.

Хорошо организованная атака состоит из множества запросов к серверу из разных точек мира. Но откуда у злоумышленников такие ресурсы?

К 2020 году самым опасным видом атаки считается атака с помощью ботнета.

Ботнет — объединённая сеть устройств, на которой установлено автономное программное обеспечение. Злоумышленники под видом программ, писем, файлов и иного контента распространяют вредоносное ПО, которое скрыто устанавливается на устройство жертвы и может быть запущено в любой момент. Вмешательство происходит незаметно: пользователи не подозревают о наличии вредоносного ПО.

Таким образом, любое устройство, которое имеет доступ к сети Интернет (мобильный телефон или стиральная машинка с WI-FI), может стать участником DDoS-атаки.

При атаке на сервер невозможно определить её инициатора: запросы идут со всего мира, с разных устройств. Злоумышленник, как правило, остаётся безнаказанным.

Виды DDoS-атак

Классификация DDoS-атак описана в статье DDoS-атаки: виды атак и уровни модели OSI. Здесь мы рассмотрим как работают самые популярные виды DDoS.

Защита от DDoS-атак

Рассмотрим основные действия, с помощью которых может быть организована защита сервера от DDoS-атак. Чтобы минимизировать риск атаки и её последствий:

Компания Рег.ру предлагает виртуальный хостинг, VPS и выделенные серверы с бесплатной защитой от низкоуровневых DDoS-атак — DDoS-GUARD. DDoS-GUARD использует серию надёжных фильтров, которые последовательно анализируют проходящий трафик, выявляя аномалии и нестандартную сетевую активность.

Высокоуровневые атаки достаточно редки из-за сложности в реализации и требуемых ресурсов, поэтому на виртуальном хостинге они встречаются нечасто, а на VPS вы можете настроить сервер исходя из установленного ПО.

Как правило, если не предпринимать никаких действий по защите, DDoS-атака закончится через пару суток. Поэтому вы можете выбрать тактику невмешательства и дождаться её окончания.

DDoS-атаки: виды атак и уровни модели OSI

В статье мы расскажем, что такое DDoS-атаки и уровни OSI, разберём виды DDoS-атак на разных уровнях и способы их предотвращения.

DDoS-атака (от англ. Distributed Denial of Service) — хакерская атака типа «отказ в обслуживании». Её цель – создать условия, при которых пользователи не смогут получить доступ к сайту или веб-сервису из-за его перегрузки. Как следствие, из-за этого владельцы проектов несут серьёзные убытки. Подробнее о том, почему ваш сайт могут атаковать и как происходит атака DDoS, читайте в статье Что такое DDoS-атака.

Ниже мы рассмотрим уровни сетевых атак согласно модели OSI и разберём те уровни, на которые чаще всего обрушивают DDoS-атаки.

Уровни модели OSI

Современный интернет работает посредством OSI — сетевой инфраструктуры на основе протоколов OSI/ISO. Эта инфраструктура позволяет устройствам в сети взаимодействовать друг с другом. Взаимодействие происходит на разных уровнях, каждый из которых работает по правилам протоколов. Всего выделяют семь уровней взаимодействия: физический, канальный, сетевой, транспортный, сеансовый, представления и прикладной. Разберёмся, что они из себя представляют.

Уровни сети

Сетевые уровни OSI

DDoS-атака может обрушиться на каждый из семи уровней, но чаще всего их инициируют на сетевом и транспортном уровне — низкоуровневые атаки, а также на сеансовом и прикладном — высокоуровневые атаки. Рассмотрим, что из себя представляют типы атак на прикладном уровне модели OSI и других обозначенных уровнях.

Типы DDoS-атак

Низкоуровневые атаки:

Высокоуровневые атаки:

Защита от DDoS-атак

Несмотря на то что разработчики ПО устраняют проблемы с безопасностью и регулярно выпускают обновления, злоумышленники постоянно совершенствуют возможности DDoS — придумывают новые способы привести системы к отказу.

Чтобы защитить свой проект от атак DDoS на низком уровне, стоит увеличить ёмкость канала или делать профилактику и глубокий анализ сетевой инфраструктуры. Чтобы защититься от высокоуровневых атак, рекомендуется регулярно анализировать TCP-клиентов и TCP-пакеты на сервере, а также использовать постоянный мониторинг состояния системы в целом и программного обеспечения в частности.

Компания Рег.ру предлагает виртуальный хостинг и VPS с бесплатной защитой от низкоуровневых DDoS-атак — DDoS-GUARD. Высокоуровневые атаки сложны в реализации и требуют много ресурсов, поэтому на VPS или виртуальном хостинге Рег.ру вы вряд ли с ними столкнётесь.

Что такое протокол SRP

Читайте нашу статью, если хотите разобраться, что такое SRP и как он работает. Мы расскажем о преимуществах протокола парольной аутентификации и рассмотрим, как и зачем его применяют.

Что такое аутентификация

Аутентификация — это процедура, при которой сервер проверяет пользователя на подлинность. При парольной аутентификации пароль, который ввёл пользователь, сверяется с паролем из базы данных. Существует два варианта проверки:

Любая аутентификация срабатывает благодаря работе того или иного интернет-протокола. Рассмотрим один из них — SRP.

Протокол парольной аутентификации SRP – что это такое

SRP – что это такое? Secure Remote Password Protocol, он же SRP – это протокол парольной аутентификации. Он устойчив к MITM-атакам и подбору пароля по словарю. SRP позволяет идентифицировать пользователя по знанию пароля. Особенность протокола SRP в том, что пользователь подтверждает знание пароля, но не открывает его при подключении.

Достоинства протокола SRP

SRP хранит пароли в зашифрованном виде и реализует доказательство с нулевым разглашением — сервер может принять данные без дополнительной информации от клиента. Если третье лицо получит доступ к данным, то не сможет их расшифровать, так как не имеет закрытого ключа. Эта особенность позволяет выделить следующие преимущества:

Принцип работы SRP

Протокол SRP основан на технологии PAKE.

SRPP использует асимметричное шифрование. При таком шифровании задействуются два ключа: открытый и закрытый. Причем открытый ключ можно распространять свободно — через него невозможно вычислить закрытый. Закрытый ключ необходимо хранить в секрете, так как с его помощью можно расшифровать данные. Асимметричное шифрование работает по следующему алгоритму:

При асимметричном шифровании ключевую пару может сгенерировать и сервер и клиент.

Где применяется SRP

Протокол SRP применяется в следующих библиотеках:

Проверка подлинности через SRP встроена в следующие приложения:

Также аутентификация по SRP стала частью протоколов SSL и TLS, на основе которых работают SSL-сертификаты.