Дефейсы, распространение малвари - да да, это все взломаные сайты

Так может выглядеть взломанный сайт или одна из его страничек

Как можно догадаться из названия - сегодня рассмотрим кейс по уже взломанным сайтам и их последствия.

В предыдущих материалах я уже писал, что в процессе нашего исследования, которым я занимаюсь - у меня на данном этапе получилось определить около 30+ тысяч сайтов (некоторые уже не активны), всего же доменов зарегистрировано в BY tld около 130 тысяч, и как показывает Google (он конечно же, не все может знать, но для старта - сойдет) - больше 20 тысяч сайтов были взломаны или заражены и в последствии распространяют разного рода вредоносные скрипты и программы.

Гугл умеет находить некоторые взломанные сайты, 24+ тысячи - это только то, что проиндексировалось

На скриншоте выше - лишь слезы в море как мне кажется, потому как - не все индексируется и не все хаки/дефейсы явно выражены. Частенько о том, что вас взломали - можно и не догадываться, пока на сервер не подсадят скрипт для рассылки спама или майнер какой либо крипты.

 

Запрос для поиска таких сайтов весьма тривиальный, надо просто попросить гугл показать нам "hacked" сайты с фильтром по конкретной доменной зоне. Какая еще в этом опасность ? Как минимум это может говорить еще и о том, что уязвимость на данном ресурсе зарыта явно где-то не глубоко, а лежит себе тихонько на поверхности. Соответственно - кто-то еще может взломать данный сайт.

О более наболевшем - в дальнейшем такие вот сайты используются для рассылки спама, размещения вредоносных файлов или скриптов прямо в теле сайта. Из-за этого по цепочке потом могут страдать так же и другие пользователи, ресурсы (сайты) и т.д.

Вредоносные сайты блокируются

Хочется отметить так же и приятный момент - наши хостинговые компании (особенно наиболее крупные, вроде Hoster.By и ActiveCloud) довольно быстро реагируют на жалобы и временно закрывают скомпрометированные сайты, через которые происходит вредоносная активность.

Но на общую ситуацию в целом, пока это сильно не влияет, такие сайты продолжают плодиться и закрываться, так по кругу.

Где размещаются вредоносные сайты

Что же делать в таком случае ? Со стороны хостинг провайдеров вероятно, что большинство возможных мер уже применяется, включая мониторинг на странное поведение и вредоносную активность. Но кроме хостеров, за свои сайты ответственны так же и их владельцы, которые в свою очередь как минимум могут пытаться своевременно обновлять системы управления и их компоненты, либо обращаться в техническую поддержку хостинг провайдера, чтобы это сделали они (или помогли разобраться).

Как узнать, что вас взломали ? Можете попробовать обратиться к нам за помощью: info [at] exploit.by

Возможно чуть позже, такие сайты сможет в автоматическом режиме выявлять и наш проект, но на данный момент времени - такой деятельностью exploit.by не занимается.

Так же, детальную статистику по сайтам, CMS и "проблемным" местам можно посмотреть на eXploit.By