Сайты в зоне BY под угрозой взломов. Срочно проверь!

В даркнете растет торговля вредоносными скриптами, в том числе — специально загруженными на сайты в зоне .BY. Это вызывает тревогу у владельцев белорусских интернет-ресурсов: как понять, что сайт не взломан? Можно ли быть уверенным, что доступ к вашему проекту не продается на теневых форумах за пару долларов? Эксперты центра кибербезопасности hoster.by объясняют, что происходит и что делать.

Что такое веб-шелл и зачем он хакерам

Веб-шелл — это небольшая программа, которая позволяет управлять сервером через веб-браузер. Сами по себе такие инструменты не вредоносны — системные администраторы используют их для работы. Проблема в том, что хакеры тоже любят веб-шеллы: с их помощью можно получить доступ к базам данных, файлам сайта или даже к внутренней сети компании.

Если злоумышленник один раз внедрил веб-шелл на ваш сайт — например, через уязвимость CMS, — он может оставаться незамеченным месяцами. Всё это время сайт могут использовать для кражи персональных данных, DDoS-атак, скрытого майнинга и других незаконных целей.

Более того, сайт с таким «скрытым доступом» часто продаётся. Доступ к ресурсу в зоне .BY может стоить от 4–5 долларов до нескольких тысяч, в зависимости от его потенциальной ценности.

Насколько всё серьёзно?

Атаки с использованием веб-шеллов — один из самых популярных методов взлома. По статистике, они встречаются в 95% киберинцидентов. Иногда на одном сайте могут «работать» сразу несколько хакерских групп. В одном случае специалисты hoster.by нашли 125 веб-шеллов на пяти сайтах. А бывает и наоборот — один веб-шелл позволяет получить доступ к сотням ресурсов.

«В первом квартале 2025 года мы зафиксировали 88 серьёзных киберинцидентов — это меньше, чем в 2024-м. Но количество выявленных веб-шеллов выросло на 27% по сравнению с прошлым годом», — рассказал директор hoster.by Сергей Повалишев. «Мы всегда уведомляем владельцев сайтов и помогаем устранить угрозу».

Кто в зоне риска, и делать владельцу сайта?

Практически все. Хакеры, как правило, не выбирают конкретную жертву — они просто массово ищут уязвимости. Но если вы работаете с персональными данными или храните важную внутреннюю информацию, риски особенно высоки.

Можно подключиться к SOC — центру кибербезопасности. Тогда специалисты будут постоянно мониторить ваш сайт, проверять его на взлом, утечки и аномальную активность.

Если следите за безопасностью сами, для обнаружения угроз:

• Сканируйте сайт с помощью Nmap, OWASP ZAP, Nikto, Acunetix.
• Проверяйте целостность файлов — чтобы увидеть, не было ли изменений со стороны.
• Для предотвращения заражения:
• Обновляйте CMS и плагины. Старое ПО — главный вход для хакеров.
• Ограничьте права доступа. Админ-доступ — только доверенным людям.
• Настройте WAF (например, hoster Guard) и фаерволы.
• Следите за поведением сотрудников и подрядчиков с доступом к сайту.
• Используйте HTTPS и шифруйте данные.
• Проверяйте DNS и IP-адреса — любые изменения должны настораживать.

Если сайт уже взломали

• Сразу заблокируйте доступ к админке.
• Сообщите провайдеру или службе безопасности.
• Сделайте резервную копию для анализа.
• Просканируйте сайт антивирусом.
• Проведите полную проверку всех компонентов.
• Выясните, через что произошёл взлом, и закройте уязвимость.

Читайте нас в: