Как проверить битрикс на вирус

Чем сайту грозят вирусы? Не только изменением информации или файлов. В большинстве случаев страдает бизнес. Компания МастерКласс узнала о проблемах с сайтом в первую очередь потому, что в 3 раза снизилось количество заявок на ремонтные услуги! Вместо 10 звонков в день поступали 1 - 3. Трафик на сайт снизился до минимума.

Если на вашем сайте проявляется подозрительная активность, описанная в статье, рекомендуем немедленно обратиться в отдел сопровождения сайтов к специалистам для проведения исследования.

Подозрение на вирусы

15 марта — начало истории. Клиент заметил падение трафика и через несколько дней обратился к нам.

Проблема видна невооруженным взглядом по Метрике. С начала марта посещаемость сайта поползла вниз.

Мы нашли подтверждение проблемы в вебмастере — снижение числа проиндексированных страниц в 4 раза. Трафик просел.

Внимательно посмотрев на сайт, обнаружили, что файл настроек адресов страниц urlrewrite.php и конфигурационный файл .htaccess изменились. Из-за этого все страницы каталога поменяли адреса. Поисковик не успел их проиндексировать, а старые удалил.

Тревожным звонком было то, то при первой попытке изменить файл .htaccess, он через несколько минут вернулся в прежнее состояние. Напоминаю, мы грешили на хостинг, и эту проблему устранили настройкой прав доступа к .htaccess.

На тот момент решили, что, возможно, клиент или хостинг случайно поменяли настройки. Мы починили файлы и отчитались клиенту о результате.

Через несколько дней файл сломался вновь, равно как и адреса страниц.

Первая попытка — Разговор дипломатов

Причина падения трафика и выпадения страниц из индекса.

В недрах сайта был специальный php-файл, который делал 2 вещи:

1. Собрали небольшое семантическое ядро и сгруппировали фразы по категориям каталога.
2. Проверили и исправили все рекомендации в Яндекс.Вебмастере, добавили сайт в Search Console для ускорения индексации Google и возврата трафика.
3. Нашли существующие 404-е ошибки, составили список страниц, отдали заказчику на исправление.
4. Нашли дубли META-информации, настроили шаблоны для меты с помощью SEO-свойств 1С-Битрикс.

1. Нашли последний рабочий архив (делали после SEO-реанимации).
2. Развернули на поддомене, проверили, работает.
3. Заменили сайты.

Прошло несколько дней, проблема повторилась. В этот раз решили провести тщательное исследование.

Артподготовка — Применили тяжелую артиллерию

После сканирования файлов сайта антивирусом AVG было обнаружено 4 файла вирусов-троянов.

Один из файлов отличался размером, после проверки выяснили, что этот файл попал на сайт в то же время, что и не заражённые файлы сайта. Вероятно, этот файл был добавлен ещё в старую версию сайта. Остальные 3 файла были созданы позже. То есть, сайт долгое время был заражен, но это никак не проявлялось.

Отчет антивирусной программы

Содержимое зараженного файла

Далее выполнили ручной анализ в папке /bitrix/admin и найдено еще несколько файлов с вредоносным кодом.

Выполнили поиск по сайту по подстрокам из вирусных файлов, но больше ничего не нашли.

Зараженные файлы находились в ядре битрикса.

Версии возникновения вирусов:

1) в старую версию сайта несколько лет назад был добавлен (вручную или автоматически) файл /bitrix/admin/mobile/bitrixcloud_monitoring_ini.php который использовался злоумышленником для добавления остальных файлов (для спама, рассылки и пр.). Этот файл не является частью ядра 1С-Битрикс.

1. просканировали файлы (AVG + Касперский) сайта на наличие вирусов;
2. вручную сделали анализ некоторых подозрительных файлов;
3. выполнили поиск по подстрокам из зараженных файлов;
4. удалили все найденные файлы с вредоносным кодом;
5. усилили безопасность сайта через настройки проактивной защиты;
6. проверили все файлы tools.php, о котором сообщил сотрудник хостинга (источник рассылки спама):
   /bitrix/modules/catalog/general/tools.php и подобные.
7. развернули сайт из очищенной резервной копии.
8. Затаились, стали ждать.

Прошло ровно 5 дней, проблема повторилась. Вирус (или злоумышленник) каждый раз оказывался хитрее нас. На этот раз:

1) в файлы index.php в начало добавляется include файла из /upload, инклудится файл вида favicon- .ico

2) в подключаемом файле после расшифровки оказался код загрузки вирусных плагинов через POST-запрос.

У всех измененных файлов дата изменения устанавливается в find ./ -mtime +6 -type f -printf '%TY-%Tm-%Td %TT %p\n' | sort -r

Зачистка — высадили десант

1. Восстановили сайт из свежей чистой резервной копии.
2. Поменяли все пароли от всех хостингов, админок, итд.
3. Оставили только одного пользователя в админах, остальным ограничили доступ к структуре.
4. Проверили ядро на наличие изменений.
5. Удалили все сторонние модули.
6. Руками и глазами проверили все подозрительные места.

Сайт работает без проблем, попросили хостинг включить отправку почты. Трафик удалось удержать. Выдохнули.

1. Храните пароли как зеницу ока на бумажке под подушкой.
2. Обновляйте платформу и всегда продлевайте лицензию 1С-Битрикс.
3. Если даете доступы фрилансерам или подрядчикам, всегда заводите для них временные пароли и ограничивайте доступ.
4. Храните резервные копии отдельно от сайта.

Благодарим Евгения Молчанова (ООО “МастерКласс”) за терпение и участие в совместном решении проблемы!

чт, 11/21/2019 - 12:00

Я администрирую сайты с 2012 года. Специализируюсь на безопасности: удаляю вредоносные скрипты, устраняю уязвимости. Лечил как небольшие блоги, так и крупные интернет-магазины. Сегодня поделюсь инструментами, с помощью которых проверяю сайт на вирусы и удаляю их.

Эта статья не для новичков: понадобится знание основ HTML, PHP и JS, а также умение работать в консоли.

Что такое вирусы и как они попадают на сайт

Вирус — это вредоносный код. Он меняет внешний вид сайта, размещает рекламу, отправляет посетителей на другой сайт, даёт мошенникам доступ к сайту, использует ресурсы хостинга для майнинга или других вычислений.

На сайте вирус, если:

1. На страницах появился контент, который владелец не добавлял.
2. Сайт стал работать медленнее.
3. При переходе на него пользователи видят другой ресурс.
4. Упала посещаемость из поиска.
5. На хостинге появились новые папки.

Вирусы попадают на сайт через уязвимый код или расширения, вследствие неправильных настроек хостинга, атаки с подбором пароля, заражения хостинга или компьютера.

Когда на сайт попадают вирусы, репутация владельца, трафик из поиска и доходы с сайта оказываются под угрозой. Чтобы вылечить сайт от вируса, сначала надо убедиться в заражении, а потом найти и удалить вредоносный код. После этого — защитить проект от будущих атак. Ниже расскажу о каждом этапе.

Убедиться в заражении

Если есть подозрение на вирус, но уверенности нет, надо убедиться в заражении. Для этого я проверяю сайт через онлайн-сканеры, а также в нескольких браузерах и поисковиках.

Онлайн-сканеры помогают быстро найти вредоносный код, но я никогда не полагаюсь только на них: не все вирусы можно найти автоматически. Вот несколько сервисов:

Один из признаков заражения — редирект. Это когда при переходе на ваш сайт пользователи видят другой ресурс. Заражённый сайт с компьютера может открываться нормально, а с телефона посетителей будет перекидывать на фишинговую страницу или страницу с мобильными подписками. Или наоборот.

Поэтому нужно проверять поведение сайта в разных браузерах, операционных системах и мобильных устройствах.

Поисковые системы автоматически проверяют сайты на вирусы. Заражённые ресурсы они помечают серым цветом и подписью с предупреждением.

Чтобы проверить свой сайт, введите адрес в поисковую строку Яндекса или Google. Если увидите предупреждение, значит, сайт заражён. Посмотрите вердикты и цепочки возможных заражений.

Способ не универсальный! Поисковые системы находят вредоносный код не сразу. Кроме того, вирус можно научить проверять источник запроса и прятаться от поисковиков. Если такой вирус увидит запрос из поисковой системы, скрипты не отработают — поисковая система не увидит подвоха.

Еще один вид вируса — дорвеи. Они встраивают на сайт свой контент.

Найти и удалить зловредов

Когда в заражении нет сомнений, вредоносный код надо найти и удалить. Основная проблема — найти. Я просматриваю файлы сайта вручную, а также использую консоль.

Вредоносные скрипты часто добавляют в исходный код сайта (в браузере нажите Сtrl+U). Проверьте его на наличие посторонних JS-скриптов, iframe-вставок и спам-ссылок. Если найдёте — удалите.

Проверьте все JS-скрипты, которые подключаются во время загрузки страницы, нет ли в них посторонних вставок. Обычно их прописывают в начале и в конце JS-скрипта.

Все посторонние вставки удалите.

Действительно, не всегда вредоносный скрипт — это отдельно подключенный файл, часто модифицируют один из существующих файлов. Если код обфусцирован, понять его не удастся. В таком случае стоит выяснить, в каком файле он находится.

Если это часть CMS, то надо проверить оригинальное содержимое такого файла, выгрузив архив с CMS такой же версии и сравнив содержимое этого файла.

Если файл самописный, т. е. не относится к компоненту CMS, то лучше обратиться к разработчику. Скорее всего он знает, что писал он, а что мог добавить зловред. В таком случае оригинальное содержимое можно заменить из бекапа.

Ростислав Воробьёв, сотрудник техподдержки ISPsystem

Если известно, когда взломали сайт, то вредоносный код можно найти по всем файлам, что были изменены с тех пор.

Например, взлом произошел несколько дней назад, тогда для вывода всех PHP-скриптов, которые были изменены за последние 7 дней, нужно использовать команду: find . –name '*.ph*' –mtime -7

После выполнения команды нужно проанализировать найденные PHP-скрипты на возможные вредоносные вставки.

Это действительно помогает уменьшить список подозреваемых PHP-файлов, которые могут содержать зловредов. Однако не всегда зловреды в PHP-файлах. Немного модифицировав .htaccess файл, можно создать файл с разрешением .jpg, в нём разместить PHP-код и веб-сервер будет исполнять его как обычный PHP, но с виду это будет картинка — пример реализации.

Ростислав Воробьёв

Директории upload/backup/log/image/tmp потенциально опасны, так как обычно они открыты на запись. В большинстве случаев именно в них заливают shell-скрипты, через которые потом заражают файлы сайта и базу данных. Такие директории нужно проверять на возможные вредоносные PHP-скрипты.

Например, каталог upload можно проверить командой: find /upload/ -type f -name '*.ph*'

Она покажет все PHP-файлы в каталоге upload.

После анализа заражённые файлы можно удалить вручную или командой: find /upload/ -name '*.php*' -exec rm '<>' \;

Откройте каталог сайта. Найдите файлы и папки с нестандартными именами и подозрительным содержимым, удалите их.

Ростислав Воробьёв

Все папки на хостинге нужно проверить на множественные php и html файлы в одной директории, сделать это можно командой:

find ./ -mindepth 2 -type f -name '*.php' | cut -d/ -f2 | sort | uniq -c | sort –nr

После выполнения команды на экране отобразится список каталогов и количество PHP-файлов в каждом из них. Если в каком-то каталоге будет подозрительно много файлов, проверьте их.

Быстро проверить сайт на вирусные скрипты можно командой:

find ./ -type f -name "*.php" -exec grep -i -H "wso shell\|Backdoor\|Shell\|base64_decode\|str_rot13\|gzuncompress\|gzinflate\|strrev\|killall\|navigator.userAgent.match\|mysql_safe\|UdpFlood\|40,101,115,110,98,114,105,110\|msg=@gzinflate\|sql2_safe\|NlOThmMjgyODM0NjkyODdiYT\|6POkiojiO7iY3ns1rn8\|var vst = String.fromCharCode\|c999sh\|request12.php\|auth_pass\|shell_exec\|FilesMan\|passthru\|system\|passwd\|mkdir\|chmod\|mkdir\|md5=\|e2aa4e\|file_get_contents\|eval\|stripslashes\|fsockopen\|pfsockopen\|base64_files" <> \;

Либо можно использовать grep без find.

grep -R -i -H -E "wso shell|Backdoor|Shell|base64_decode|str_rot13|gzuncompress|gzinflate|strrev|killall|navigator.userAgent.match|mysql_safe|UdpFlood|40,101,115,110,98,114,105,110|msg=@gzinflate|sql2_safe|NlOThmMjgyODM0NjkyODdiYT|6POkiojiO7iY3ns1rn8|var vst = String.fromCharCode|c999sh|request12.php|auth_pass|shell_exec|FilesMan|passthru|system|passwd|mkdir|chmod|md5=|e2aa4e|file_get_contents|eval|stripslashes|fsockopen|pfsockopen|base64_files" ./

Эти команды выполнят поиск вредоносного кода в файлах текущего каталога. Они ищут файлы рекурсивно, от того каталога, в котором запущены.

Совпадений будет много, большинство найденных файлов не будут зловредами, так как модули CMS тоже используют эти функции.

В любом случае, проанализируйте найденные PHP-скрипты на возможные вредоносные вставки. Перед удалением файла обязательно посмотрите его содержимое.

Часто во время взлома и заражения сайта вредоносный код добавляют в базу данных. Для быстрой проверки базы данных на вирусы нужно зайти в phpmyadmin и через поиск ввести по очереди запросы

Сайт, как и любой программный продукт, подвержен вирусной атаке. Заражение сайта для владельца обычно происходит неожиданно и в самый неподходящий момент.

Все последствия заражения крайне негативны:

Снижение позиций сайта в выдаче поисковых систем в результате его блокировки.

Кража информации о заказах и клиентах

Перебои в работе сайта.

Причин заражения сайтов не так много:

Установка плагинов и модулей из непроверенных источников (не marketplace bitrix)

Сайт может быть установлен в уже зараженную среду: размещение сайта на одном хостинге с ранее зараженным сайтом.

Чаще всего мы сталкиваемся с вредоносным кодом, который не ворует заказы, не портит данные, а перенаправляет ваших посетителей на другие сайты. Современные поисковые системы научились распознавать такие вставки на сайтах и помечают сайт как зараженный. Большинство хостинг-провайдеров и поисковых систем умеют сами определять наличие такого вредоносного кода на сайтах.

К сожалению, ни хостинг, ни поисковые системы никак не реагируют на такие “заражения”. Кстати, модуль “Проактивная защита” замечает такой код в том случае, если он зашифрован. Только в этом случае он вызывает подозрение 1С-Битрикс.

Возможные способы устранения проблем с вредоносным кодом:

Самый простой способ - восстановить сайт из резервной копии. Если вы регулярно создаёте резервные копии и можете вспомнить, когда с сайтом начались неполадки, нужно взять максимально свежую резервную копию и восстановиться из неё. Это самый быстрый и дешёвый способ решения проблемы. После восстановления необходимо сменить все административные пароли.

Более сложный и трудоёмкий сценарий - поиск и удаление вредоносного кода. Если о проблеме с вредоносным кодом стало известно из уведомлений хостинг-провайдера, необходимо запросить у них список зараженных файлов. Это позволит сузить область поиска и сократить время и бюджет решения проблемы. Если списка файлов нет, необходимо проверять все файлы сайта. В 1С-битрикс их десятки тысяч. Скачиваем все файлы к себе на компьютер или загружаем специальный антивирус на хостинг и выполняем проверку. Делать нужно осторожно, обычно лечение заключается в удалении подозрительных файлов, а не вредоносного кода в них.

Для поиска вредоносного кода в нашем арсенале имеется ряд утилит и методик. Десктопные версии антивирусов: Касперский, Dr.Web и их бесплатные аналоги.

Manul - антивирусная программа, которая собирает информацию о сайте: перечень файлов и фрагменты потенциально опасного кода. Manul легко установить. Ему не нужен доступ к учётным записям администратора. Достаточно загрузить его через FTP в корень сайта и запустить.

После проверки сайта, отчет Manul необходимо загрузить в анализатор

Вредоносный код обычно встречается в обфусцированном виде, т.е. зашифрован и нечитабелен. Manul находит его и отмечает подозрительным. Вместе с вредоносным кодом он помечает и платные модули из marketplace, т.к. они тоже поставляются в зашифрованном виде. Важно, после автоматической проверки, вручную пройтись по всем помеченным файлам, отделить платные модули от вредоносного кода и вырезать последний. Для небольшого сайта вся процедура выполняется за рабочий день. Для интернет-магазинов и сайтов с “кучерявой” логикой 2-4 рабочих дня.

Последний опыт исцеления был связан с сайтом teslael.ru. На сайте были обнаружено несколько бэкдоров, а также самораспространяющийся вредоносный код, который перенаправлял посетителей с мобильными браузерами на другие сайты. Всё нашли, удалили, перенесли сайт на хороший хостинг.

Как известно, нет на 100% безопасных и неприступных крепостей и систем. Не важно какой у вас сайт - несколько страниц о компании или федеральный интернет-магазин, не пренебрегайте его безопасностью, соблюдайте простые правила:

Используйте сложные пароли

Размещайте сайт на проверенном хостинге

Меняйте пароли несколько раз в год

Регулярно создавайте резервные копии сайта

Периодически проверяйте сайт антивирусом

Устанавливайте дополнения из проверенных источников

Вчера на двух сайтах, которыми я занимаюсь обнаружился один и тот же вирус.

Он вставляет в индексные страницы следующий код:
На переходите по ссылке, там вирус.

Никак не могу понять откуда он взялся. Пароли на FTP хранятся в отдельном файле и нигде не запоминаются. Я так понимаю, что пароли на административный вход вирусу мало чем помогут, если он специально не заточен под битрикс.

Один из сайтов находится на тестовой площадке и его индексация запрещена в robots.txt. Поэтому вероятность какого-то внешнего взлома мала.

Есть какие-нибудь мысли?

Цитата
Илья Душин пишет: Это самая большая беда битрикса - его популярность

Ни разу не встречали вируса, заточенного под битрикс.

Обычно заменяет все файлы index.php, которые находит.

Странное творится ввыводится вот такое сообщение

и что, где тут что, какой вирус или нет.

К слову, продукт, интранет портал.

Компонент (и.с.) - существительное мужского рода (ГОСТ 34.003-90).

Цитата
На практике, в 99,9% случаев заражение вирусом идёт по ftp. Права битрикса и административная панель никак не связаны.

откуда такая статистика?)

Цитата
Алексей Задойный написал: в upload должно быть запрещено выполнение пхп кода. А вообще обратитесь в ТП - помогут.

Вот и я о том же! ТП ? Вам скинуть переписку. ? Вторую неделю уже ведем диалог

кроме этой ссылки ничего полезного не посоветовали - marketplace.1c-bitrix.ru/solutions/bitrix.xscan/

у меня куча вопросов в ответ, да возможно , мы рекомендуем и на этом все.

Очень странную ситуацию вы описываете. Как будто мы о разных ТП говорим. Ребята всегда очень хорошо отрабатывали инциденты безопасности.

Доступ к выполнению пхп в upload на уровне веб сервера пробовали закрыть?

Цитата
Алексей Задойный написал: в upload должно быть запрещено выполнение пхп кода. А вообще обратитесь в ТП - помогут.

так вроде как по умолчанию в файле htaccess этой папки -ЗАПРЕЩЕНО !?
Может изменён? С него начать.

Извините, пропустил важный вопрос.

Цитата
Александр Кудин написал: откуда такая статистика?)

Из клиентских тикетов.

Если говорить про вирус, делается ботами массово, ftp - это самый простой путь, подбирать пароли и организовывать модификацию файлов через панель битрикса гораздо более трудоёмко и менее эффективно. Базовая защита в виде капчи при неправильном вводе блокирует перебор паролей.

Когда речь о взломе, это совсем другая ситуация. Тут уже ручная работа, это обычно или соседние сайты на разделяемом хостинге, или свой софт в виде дополнительного визуального редактора, phpMyAdmin и пр.

Теперь о техподдержке. Вирус - это совсем не наш вопрос, мы не можем ни повлиять на это, ни полечить, поэтому только общие рекомендации. Но если у клиента активный лицензионный ключ, через систему обновлений техподдержка может переписать все файлы ядра. Это помогает восстановить работу сайта, когда клиентский компьютер полечен, а пароли ftp поменяны.

Вчера целую ночь боролись , и вот что сделали

1 поменяли пароли на почте (у каждого домена свой пароль минимум 15 символов)

2 проверили все сайты скриптов который ищет вредоносный код “ai-bolit.php”, все что нашел - вычистили или удалили.

3 поставили самые новые обновление 1С битрикс

4 запустили проактивную защиту , проверили все сканером. Исправили все ошибки которые битрикс порекомендовал нам исправить

5 поменяли пароли к БД

6 поменяли доступы к сайту - у всех админских пользователей . Повысили уровень безопасности для админов

7 проверили доступ к папкам и файлам у всех они 755 и 644

8 Поменяли доступы FTP и от панели к хостингу

Криптовалютная мания захватила многих, но для майнинга требуется огромное количество энергии, стоимость которой может оказаться выше, чем стоимость добытых виртуальных денег. Ловкие криптовалютчики выходят из положения с помощью хакерских программ. Подробности — в материале Tipler.Ru.

Вирус майнер на Tipler.Ru

Далее указывалась ссылка на каталог с вредоносным файлом. Удалить его можно было самостоятельно, что мы немедленно и сделали, после чего сменили пароли и установили все последние обновления.

Конечно же, мы вступили в переписку с аналитиками из It-Infinity, чтобы узнать побольше о подобных вирусах, а потом взяли интервью у директора веб-студии Виктора Карионова. Мы попросили его рассказать о том, как его команда впервые столкнулась с данной проблемой, как работает вирус и каковы масштабы заражения.

Предоставляем слово Виктору

Tipler: Скажите, пожалуйста, как Вы обнаружили проблему?

Виктор Карионов: 4 Июля 2018 года к нам обратился клиент для проведения запланированных работ на его сайте. В процессе обсуждения плана работ мы обратили внимание на странную анимацию в нижнем правом углу экрана.

Tipler: В чем был источник проблемы? Как работал вирус?

Виктор Карионов: Мы быстро нашли подключенные к сайту JavaScript файлы. Первый отвечал за подключение майнера, второй был обфусцирован (зашифрован) и логика его работы нам до конца не понятна.

Если удалить эти файлы, то в течении суток они появлялись вновь. Это была только вершина айсберга. Мы понимали, что где-то расположен web shell (скрипт, который позволяет полностью менять все файлы и выполнять произвольные команды на стороне сервера).

Просканировав сайт программой AiBolit, мы нашли этот шелл, а также файл backdoor’а, при обращении к которому через браузер с определёнными параметрами он авторизовался на атакуемом сайте под учётной записью администратора.

Tipler: Атаке подвержены все сайты? Каков масштаб проблемы?

Виктор Карионов: К сожалению, пострадало большое количество сайтов, среди которых были сайты банков, СМИ, крупных именитых ритейлеров, государственные и много других. В целях конфиденциальности и по просьбе служб безопасности, мы решили не публиковать данный список.

Что касается самого сервиса sparechange.io, то это вполне легальный майнер, который позволяет администраторам, разместив его на своём сайте, зарабатывать на своих посетителях (например вместо рекламы). Скорее всего, когда злоумышленники начали использовать его, он работал по-тихому, без всяких анимаций. В текущих версиях он проявляет себя при помощи анимации, уведомляя пользователя о своей работе.

Примечательно, что майнер начинал работать не сразу и не на всех сайтах. Где-то он включался сразу, где-то спустя время, а где-то вовсе никак не проявлял активность. Во время работы самого майнера, нагрузка на CPU (центральный процессор) вырастала до 90%-100%.

Tipler: Подвержены ли другие сайты, не относящиеся к 1С-Битрикс, такой проблеме?

Виктор Карионов: Да, ответ однозначный. Мы в связи со спецификой позиционирования своей студии работаем только с платформой 1С-Битрикс, и найденная нами схема атаки была адаптирована именно под данную платформу, но ничего не мешает злоумышленникам организовать атаку на любую другую CMS.

Мы провели большую работу по изучению логов атакованных сайтов с целю выявления причин и способов атаки и заражения сайтов. На основе полученной информации мы пришли к выводу, что причина банальна – безответственное поведение администраторов сайтов в отношении политики безопасности. Пароли украдены непосредственно с компьютеров администраторов при помощи вирусного ПО. На самом деле наше расследование завершено не до конца, к нему подключились коллеги из компании ITSOFT.

Они являются не только веб студией, но и дата-центром. Сейчас их служба безопасности занимается изучением схемы распространения вредоносного программного обеспечения.

Tipler: На каком этапе находится работа? Найдено ли решение?

Tipler: Хотите что-то добавить, порекомендовать админам?

В заключении хочу напомнить в 1000 раз всем, кто работает с сайтами на правах администратора о том, что пароли нужно хранить в проверенных менеджерах паролей, использовать только сложные пароли, созданные при помощи соответствующих генераторов, и не пренебрегать антивирусами. К сожалению, об этом забывают как владельцы сайтов, так и разработчики.