Гид по кибер безопасности. Часть 2

Гид по кибер безопасности 2026

Классификация атак, реабилитация и защита инфраструктуры через ispmanager
Часть 2 из 4
20 апреля 2026
10 минут
#
Безопасность сайта и сервера

Классификация атак, реабилитация и защита инфраструктуры через ispmanager

В этом материале мы разберем реальный арсенал угроз киберпреступников: от брутфорса до изощренных MITM-атак и отравления цепочек поставок. Но главное — не просто перечислим опасности, а расскажем, какие инструменты в ispmanager помогут защититься или справиться с их последствиями.

Атаки на доступность сервисов

DDoS-атака

DDoS (Distributed Denial of Service)
Уровни: сетевой, транспортный, прикладной
Намеренная перегрузка сервера большим количеством запросов с разных устройств. Цель — cделать ресурс недоступным для пользователей или замедлить его работу.

Чаще всего Ddos-атаки затрагивают cетевой (L3), транспортный (L4) и прикладной уровень. Для атак хакеры используют географически распределенные сети зараженных устройств — ботнеты. Злоумышленники генерируют лавинообразный поток фиктивных запросов, имитируя аномальную активность.

Под давлением информационного спама аппаратные мощности и каналы связи сервера исчерпываются. Это приводит к деградации производительности: сайт начинает работать со значительными задержками или полностью перестает отвечать на запросы.

Реабилитация и экстренные меры

  1. Фильтрация трафика: немедленно активируйте специализированные сервисы защиты, такие как WAF и anti-DDoS, для очистки входящего потока от мусорных запросов.
  2. Смена IP-адреса: скройте реальный адрес сервера за защищенным прокси-узлом, чтобы перенаправить атаку на мощности провайдера защиты.
  3. Оптимизация ресурсов: настройте лимиты подключений на уровне веб-сервера и обратитесь к хостинг-провайдеру для блокировки вредоносного трафика на уровне магистрального канала.

Инструменты в ispmanager для защиты от DDoS

ispmanager помогает обнаружить DDoS-атаку в её начале: мониторит аномальные всплески нагрузки и анализирует серверные логи. Для отражения угроз в ispmanager предусмотрены следующие инструменты: 

  • Ограничение запросов в Nginx: настройка лимитов для защиты от DDoS-атак.
  • Блокировка IP-адресов: с помощью встроенного межсетевого экрана, а также автоматическая блокировка по географическому признаку (geoIP).
  • Перенаправление трафика: при масштабной атаке через ispmanager можно в течение нескольких минут переключить DNS-записи на сервисы очистки трафика (если панель ispmanager выступает в качестве управляющего сервера имен).
  • Модуль DDoS-Guard: фильтрует трафик через распределенную сеть серверов и отбрасывает вредоносные запросы. Подходит только для проектов, расположенных в РФ, так как не передает данные за ее пределы. Модуль DDoS-Guard оплачивается отдельно.

Атаки на внедрение кода и манипуляции

SQL-инъекции

SQL-инъекция — внедрение вредоносного кода в запросы к базам данных
Затрагивает уровень приложений, баз данных, сервера, сетевой защиты
Возникает из некорректной фильтрации данных, вводимых через поля ввода.

Хакеры используют формы ввода на сайте (поля поиска, логина или фильтры в URL) для передачи специально сконструированных команд. Эти команды обманывают приложение, заставляя базу данных выполнять вредоносные действия вместо стандартных операций.

Успешная атака приводит к полной компрометации данных — краже учетных записей пользователей, утечке коммерческой информации или полному удалению содержимого базы данных. В некоторых случаях хакеры могут получить права администратора сервера, что ведет к потере контроля над всей инфраструктурой.

Реабилитация и экстренные меры

  1. Валидация кода: немедленно перейдите на использование параметризованных запросов в коде приложения, чтобы отделить данные от команд.
  2. Аудит БД: проверьте базу на наличие посторонних записей или новых учетных записей с правами администратора.
  3. Минимизация привилегий: ограничьте права пользователя базы данных только теми операциями, которые необходимы для работы сайта (например, запретите DROP или GRANT).

Инструменты в ispmanager для защиты от SQL-инъекций 

  • WAF на базе ModSecurity анализирует все входящие HTTP-запросы и блокирует те, которые содержат паттерны SQL-кода, не давая им достичь базы данных.
  • Можно просматривать логи ошибок веб-сервера — это помогает обнаружить попытки подбора инъекций.
  • Управление пользователями баз данных позволяет устанавливать безопасные уровни доступа в несколько кликов.

XSS-атака (межсайтовый скриптинг)

XXS-атака — это внедрение в легитимную веб-страницу вредоносного кода, который исполняется в браузере пользователя при её посещении
Затрагивает серверные и клиентские уровни

Хакеры ищут поля ввода на сайте (комментарии, формы поиска, личные сообщения), которые некорректно обрабатывают спецсимволы. Вместо обычного текста они внедряют JavaScript-сценарии. Когда обычный пользователь открывает зараженную страницу, его браузер послушно исполняет скрипт, считая его частью кода сайта.

Атака позволяет злоумышленникам красть сессионные файлы, перехватывать логины и пароли через поддельные формы или осуществлять drive-by-загрузки, скрытно устанавливая вредоносное ПО на устройство жертвы. Для владельца сайта это оборачивается потерей доверия аудитории и компрометацией данных клиентов.

Реабилитация и экстренные меры

  1. Экранирование вывода: настройте автоматическое преобразование всех пользовательских данных в безопасные HTML-сущности (например, < превращается в &lt;), чтобы код не мог запуститься.
  2. Внедрение CSP: настройте заголовок Content Security Policy, который запретит исполнение любых скриптов со сторонних ресурсов.
  3. Очистка данных: Проведите ревизию кода сайта и удалите все опасные функции (такие как eval() или innerHTML), заменив их на безопасные альтернативы.

Применение ispmanager

  • Модуль WAF ModSecurity автоматически распознает и блокирует попытки внедрения скриптов через GET и POST-запросы до их внедрения на странице.
  • ispmanager позволяет в несколько кликов отредактировать конфигурационные файлы Nginx или Apache для добавления защитных заголовков, таких как Content-Security-Policy.

Внедрение вредоносного ПО

Вредоносное ПО — трояны, сетевые черви, вирусы, бэкдоры, программы-шантажисты, майнеры, adware-программы
Код, скрытно внедряемый в систему для кражи данных, несанкционированного контроля или повреждения цифровых активов.
Вредоносные программы компрометируют базы данных, рассылают спам, захватывают мощности сервера для майнинга или атакуют через уязвимость другие ресурсы.

Хакеры доставляют вредоносный код через уязвимости в CMS и плагинах, фишинговые вложения или методом подбора паролей. После инъекции ПО закрепляется в системе, маскируясь под легитимные файлы или системные процессы.

Вредоносные программы компрометируют базы данных, рассылают спам , захватывают мощности сервера для майнинга или атакуют через уязвимость другие ресурсы.

Реабилитация и экстренные меры

  1. Изоляция и аудит: отключите скомпрометированные сайты, проведите полное сканирование антивирусом и удалите вредоносные фрагменты кода.
  2. Сброс доступов: смените пароли всех пользователей, SSH-ключи и доступы к базам данных.
  3. Закрытие брешей: обновите ядро CMS, компоненты и системное ПО до последних версий, чтобы устранить критические уязвимости.

Применение ispmanager

  • Модуль ImunifyAV в ispmanager находит вредоносное ПО: бэкдоры, спам-скрипты, трояны.
  • Поддерживается резервное копирование: можно восстановить сервер из чистого бэкапа.
  • Управление правами доступа и PHP-режимами помогает ограничить область исполнения подозрительных скриптов.

Атаки на основе компрометации учетных данных

Брутфорс-атака

Брутфорс-атака (от англ. «грубая сила»)
Затрагивает уровни пользователя, веб-приложений, сетевых сервисов и баз данных.
Метод взлома через полный перебор всех возможных комбинаций логинов, паролей, ключей для получения доступа к системе

Хакеры применяют специализированное ПО для автоматического и непрерывного генерирования тысяч комбинаций логинов и паролей. Они нацелены на любые точки аутентификации: SSH, FTP, панели управления сайтом, почтовые серверы, базы данных и CMS.

Успешный брутфорс ведет к получению несанкционированного доступа к критическим ресурсам. Это оборачивается кражей конфиденциальных данных, внедрением вредоносного ПО, использованием сервера для рассылки спама, криптомайнинга или организации DDoS-атак, а также полной потерей контроля над всей ИТ-инфраструктурой.

Реабилитация и экстренные меры

  1. Заблокируйте подозрительные IP-адреса, с которых идут многочисленные попытки подбора.
  2. Сброс доступов: смените все пароли, особенно для административных учетных записей и SSH/FTP, используя уникальные и сложные комбинации.
  3. Аудит: проверьте логи на наличие успешных входов с неизвестных IP-адресов и наличие новых, неавторизованных пользователей.
  4. Усиление: активируйте двухфакторную аутентификацию для всех критически важных сервисов.

Применение ispmanager

  • Fail2ban — автоматически анализирует системные логи и временно блокирует IP‑адреса, с которых фиксируют многочисленные неудачные попытки войти в систему.
  • Управление iptables позволяет быстро настроить доступ к критическим портам (например, к SSH) только с доверенных IP‑адресов.
  • Мониторинг логов доступа помогает оперативно выявлять аномальную активность.
  • Двухфакторная аутентификация (2FA) требует для входа в систему применить два независимых способа подтвердить личность.
  • Запрет входа с разных IP блокирует возможность авторизоваться одновременно с нескольких адресов.
  • Геоблокировка авторизации запрещает вход с выбранных регионов.

Фишинг

Фишинг — вид кибератаки, основанный на социальной инженерии
Злоумышленник имитирует сообщения из достоверных источников, чтобы получить логины, финансовые реквизиты и другую конфиденциальную информацию.

Хакеры создают точные копии известных сервисов, интернет-банкингов или панелей управления и рассылают сообщения, используя психологические триггеры: угрозу блокировки аккаунта, обещание выгоды или срочность. В качестве отправителей используются честные имена органов исполнительной власти, крупных телекоммуникационных операторов, профильных интернет форумов, кредитно-финансовых организаций, организаций-партнеров и организаций-клиентов. Жертва сама вводит данные на поддельном ресурсе, передавая их в руки злоумышленников.   

Фишинг — это «взлом человека», а не системы. Успешная атака ведет к компрометации административных учетных записей. Получив доступ, хакеры могут беспрепятственно управлять сервером, выгружать базы данных, внедрять вирусы или использовать инфраструктуру компании для дальнейших атак.

В 2019 году был выявлен случай фишинга через google-календарь. Преступники рассылали своим жертвам сообщения, мимикрирующие под пуш-уведомления в календаре. Фишинговый календарь — это нетривиальный способ заполучить данные жертвы. Обычный спам на почте часто удаляется автоматически, а уведомления в google-календаре боятся упустить. После открытия жертвой фальшивого уведомления сюжет развивается следующим образом: пользователя приглашают пройти на сайт и поучаствовать в опросе за денежное вознаграждение. При этом просят ввести данные от банковской карты, чтобы потом якобы направить туда вознаграждение. В этот момент рыбка попадается на крючок злоумышленника.

Реабилитация и экстренные меры

  1. Смена учетных данных: измените пароли во всех скомпрометированных и связанных системах, завершив все активные сессии.
  2. Аудит прав доступа: проверьте список пользователей на наличие новых «администраторов», созданных злоумышленником для сохранения контроля.
  3. Активируйте двухфакторную аутентификацию — она делает украденный пароль бесполезным без физического доступа к устройству владельца.

Применение ispmanager

  • С помощью средства защиты SpamExperts можно фильтровать подозрительные входящие письма.
  • Настройка SPF, DKIM и DMARC гарантирует, что письма с вашего домена подлинны — хакеры не смогут использовать ваше имя для рассылки фишинга.

☝️Любопытный факт

По аналогии с семью смертными грехами из Библии, компания Cisco представила свою версию семи человеческих слабостей, которые могут привести к цифровой смерти, по причинам:

  • сексуальности;
  • алчности;
  • тщеславия;
  • чрезмерной доверчивости;
  • лени;
  • сострадания;
  • поспешности в принимаемых решениях.

Атаки на перехват и эксплуатацию доверия

MITM-атака

MITM-атака (man-in-the-middle или человек посередине)
Цель — прослушивать, перехватывать или модифицировать передаваемые данные.
При MITM-атаке хакеры используют уязвимости сети (например, в публичных Wi-Fi, ARP-спуфинг, DNS-спуфинг) или компрометируют сетевые устройства.

Основное воздействие MITM — это компрометация конфиденциальности и целостности данных. Злоумышленник может похищать логины, пароли, банковские реквизиты, секретные ключи, а также внедрять вредоносный код или поддельный контент в легитимный трафик. Это приводит к финансовым потерям, утечкам данных и потере доверия к скомпрометированному ресурсу.

Реабилитация и экстренные меры

  1. Аудит безопасности: регулярно сканируйте сеть на предмет аномалий и устройств с подозрительной активностью.
  2. Устанавливайте на веб-ресурсы SSL-сертификаты для шифрования трафика и регулярно обновляйте их.

Применение ispmanager

  • ispmanager позволяет управлять SSL-сертификатами, включая бесплатные Let's Encrypt. Это гарантирует шифрование трафика.
  • ispmanager упрощает настройку HTTP Strict Transport Security (HSTS) через конфигурационные файлы веб-сервера. Это принуждает браузеры всегда обращаться к сайту по HTTPS, предотвращая попытки даунгрейда соединения до незащищенного HTTP.

Атака на цепочку поставок

Атака на цепочку поставок
Ведет к скрытой компрометации данных, потере управления серверами и краже конфиденциальной информации.
Хакеры внедряются в инфраструктуру компании-разработчика и подменяют легитимный код или обновления вредоносным.

Атака на цепочку поставок — это метод кибернападения, при котором целью становится не сама жертва, а сторонний поставщик программного обеспечения, услуг или компонентов, входящих в её ИТ-экосистему.

Хакеры внедряются в инфраструктуру компании-разработчика и подменяют легитимный код или обновления вредоносным. В результате зараженное ПО распространяется по официальным каналам под видом доверенного продукта. Цифровые подписи и авторитет вендора используется для обхода защитных систем конечных пользователей.

Для пользователя такая атака означает взлом изнутри: заражение происходит через доверенный канал. Это ведет к скрытой компрометации данных, потере управления серверами и краже конфиденциальной информации. Для вендора последствия катастрофичны — полная потеря репутации и юридическая ответственность за заражение всей клиентской базы.

Реабилитация и экстренные меры

  1. Изоляция и откат: немедленно прекратите использование скомпрометированного ПО и откатите систему до «чистого» состояния (бэкапа), созданного до установки вредоносного обновления.
  2. Аудит целостности: проведите проверку всех сторонних библиотек и компонентов на соответствие контрольным суммам (hash) разработчика.
  3. Мониторинг соединений: выявите и заблокируйте аномальные исходящие соединения, которые могут использоваться для связи с командным сервером хакеров.

Применение ispmanager

  • Встроенные антивирусные модули (например, ImunifyAV) позволяют обнаружить подозрительные изменения в коде сайта или скриптах, даже если они поступили из «доверенного» источника.
  • Сервис бэкапов позволяет развернуть работоспособную версию системы в минимальные сроки. Так минимизируя простой бизнеса при обнаружении отравленного обновления.
  • Дистрибутив CloudLinux в ispmanager для хостинг-провайдеров обеспечивает изоляцию проектов пользователей. 
#
Безопасность сайта и сервера