Кибератаки и попытки взлома сайта предприятия сельхозмашиностроения в 2025 году: с каких интернет-компаний по принадлежности их IP-адресов это было

Такой информационный материал мы хотели разместить на сайте давно – как только в 2022 году заметно участились попытки взлома и постороннего доступа в панель управления (ПУ) сайтом. Ранее того года подобные происшествия имели чисто эпизодически-случайный характер, – не чаще одного раза в три-четыре месяца. Эти изменившиеся обстоятельства подтверждаются резко участившимися особенно в 2025 году публикациями на данную злободневную тему в профильных компьютерных журналах. Ссылки на них мы будем приводить по ходу изложения материала. Спешим, однако, наперёд заметить: мы отнюдь не претендуем на образ какого-то суперважного российского веб-ресурса или интернет-структуры крупной отечественной бизнес-компании. Мы всего лишь представители малого или среднего предпринимательства (МСП) – в виде небольшого машиностроительного производства для аграрной отрасли в сфере уборки урожая и заготовки кормов. Но, так или иначе, злоумышленники и взломщики за эти последние четыре года нервы нам потрепали довольно основательно. Уж не говоря о потраченном на это рабочего времени. Поэтому мы и решили об этом более-менее подробно, но простым языком, – поделиться и рассказать всем нашим коллегам, заказчикам, клиентам и покупателям. В надежде дополнительно выглядеть в их глазах надёжным партнёром, который заботится не только о своей информационной безопасности, но и их тоже. Может быть, для многих из них наш опыт будет интересен и окажется применимым в своей практике. Так как, увы, в наше время не каждая компания может позволить себе полноценного самостоятельного специалиста по работе с сайтом. Поэтому примите, пожалуйста, наш небольшой данный труд.

Как мы действовали? (И действуем так и сейчас.) Довольно просто. Как только CMS (content management system – система управления сайтом или контентом) сайта оповещала нас о попытке постороннего доступа в ПУ и в её разделе "Журнал событий" появлялась запись типа "Ошибка входа", "Попытка внедрения PHP-кода", "Попытка внедрения SQL-кода", "Попытка XSS-взлома" и т.п., мы попросту блокировали соответствующий IP-адрес в системном файле ".htaccess". Это так называемый "hypertext access" – файл дополнительной конфигурации веб-сервера (сайта), который позволяет задавать большое количество дополнительных параметров и разрешений для работы в своих отдельных каталогах (папках). В частности и именно, – можно ли присутствовать в нём (ней) интернет-пользователю, пришедшему с определённого IP-адреса. Такой системный файл есть в управляющих "потрохах" каждого веб-сайта. Нет, система не блокирует простого посетителя с этого IP-адреса, – он может беспрепятственно просматривать все информационные страницы и разделы сайта, скачивать какие-то размещённые на них файлы и т.д. Система сделает другое – она мгновенно "выкинет" такого пользователя из ПУ, если он всё же сумел проникнуть в неё с помощью подобранной пары "логин-пароль". Не пуская и не позволяя ему выполнить вредоносные действия по отношению к материалам сайта (его страниц, файлов, иллюстраций). Отметим своевременно и сразу, что почти всегда это может быть отнюдь как раз не человек-пользователь, а созданный автоматический бот-взломщик, действующий по довольно простой последовательности: попасть в ПУ, быстренько выполнить опасные для сайта сценарии и затем отправиться восвояси.

Нет, это не так называемая DDoS-атака с целью "завалить" сайт и хостинг, о которых пишут сейчас особенно часто. Это нечто другое и даже как бы и безвредное буквально: тихонько в недрах разделов и страниц сайта разместить, скорее всего, ссылки на какие-то свои интернет-сайты в целях так называемого дополнительного ссылочного ранжирования для их продвижения. Это так называемое ссылочное спам-ранжирование. За которое поисковые системы могут и наказать – понизить или даже исключить сайт с такими ссылками из поисковых выдач и нейросетевых ответов на длительный период. Вот в чём реальная опасность, которая подстерегает сайты компаний в результате подобных действий. Ну, и ещё ваши покупатели могут увидеть на страницах вашего сайта эти такие несвойственные ссылки, – подчас даже на порносайты или же сайты, содержащие вредоносные коды, которые может "подцепить" любой гаджет при их посещении. Ваша компания или её сайт ведь не хочет такой "подмоченной репутации", верно? При этом опять же заметим один серьёзный момент, что нет однозначного ответа на вопрос, – реально ли кибератака или попытка взлома происходит именно с того IP-адреса, который детектируется системой. Ниже приведены нюансы использования IP-адресов для выявления кибератак. При этом и кроме того, злоумышленники могут использовать IP-адрес в качестве одного из инструментов для атаки. Например, хакеры могут арендовать сервер в России, чтобы получить российский IP-адрес и направлять с него вредоносный трафик.

• Динамические IP-адреса часто меняются, что затрудняет точное определение источника вредоносной активности;
• Общие IP-адреса используются несколькими пользователями, что также мешает точному выявлению;
• Использование VPN-служб и (последовательно нескольких) прокси-серверов может скрыть истинный IP-адрес.

В нашем списке в вышеупомянутом системном файле сайта уже более 240 строк. Так сказать, накопили информацию с 2022 года. Некоторые из них – это уже так называемые масочные адреса, то есть указывающие не один какой-то конкретный отдельный IP-адрес, а их диапазон. Предлагаем читателям самостоятельно поискать информацию о "масочном" синтаксисе IP-адресов. Тремя годами ранее и ещё раньше, как мы уже писали выше, попытки взлома сайта были почти случайными и нерегулярными. Мы просто интересовались, – что это за IP-адреса, какие интернет-компании, провайдеры и хостинги стоят за ними, а также на территории каких стран они работают. Анализаторов такой информации в Интернете также изрядное количество. Затем включали данный IP-адрес в блокирующий список. Позже мы пробовали ряд немного рискованных экспериментов, например, после очередной попытки взлома не вписывали в блокирующий список новый "злобный" IP-адрес и далее наблюдали – будет ли с него новая попытка. Почти всегда в таких случаях адрес повторялся. После этого мы, разумеется, незамедлительно помещали его в запретный список. Но ещё позже мы увидели, что в качестве новых "поступают" IP-адреса, отличающиеся от предыдущего всего на несколько позиций в его последней, четвёртой тройке цифр IP-адреса. Это говорило ровно об одном – это, без сомнения, та же хостинг-компания или интернет-провайдер. А это уже организованные в Интернете вредоносные действия – либо по сговору, либо с запрещённым использованием чужого интернет-оборудования. Используя различные информационные сайты в их открытом доступе, мы узнавали все диапазоны IP-адресов этих организаций и блокировали их уже масочным списком. Такие сайты мы также предлагаем читателям поискать самостоятельно – их давно известных и много лет функционирующих в Интернете немало. После такой диапазонной блокировки названия этих нехороших компаний мы забывали навсегда. Взломщики, обнаружив серьёзное сопротивление, обычно уходят.

Ещё раз повторим – простые пользователи с этих IP-адресов могут без проблем полноценно просматривать ваш сайт, на них эти ограничения никак не повлияют. С этих IP-адресов система лишь не пустит их в свою ПУ. Это примерно как некто сможет зайти в жилую секцию в многоквартирном доме (МКД), но не сможет – в конкретную квартиру. Или, всё же попав в неё, сразу же получит однозначное воздействие по удалению обратно за входную дверь. Таким образом, система как бы "знает своих". Естественно, не следует кидаться блокировать всё и всех подряд, кроме IP-адресов, с которых заходят в ПУ штатные администраторы и редакторы сайта. Система управления сайтом тогда просто не сможет за приемлемое время просматривать в файле ".htaccess" такие списки, выдавая "пропуска" на вход. Завершая такой небольшой теоретический ликбез в сфере первичной информационной безопасности веб-ресурсов и переходя к непосредственному предмету разговора, скажем ещё несколько важных слов. Что ещё может помочь? Регулярно делайте резервные архивные копии сайта – этот функционал есть в каждой CMS. Не ленитесь также скачивать её себе на компьютер и размещать в каком-нибудь облачном хранилище данных – например, на Яндекс.Диске. Это дополнительно сохранит ваши данные и ваш сайт. Увы, после любого инцидента с сайтом единственно приемлемый путь – восстановление архивной резервной заведомо исправной копии сайта. Не стоит пытаться что-то "исправлять". Особенно следите за объёмом архивной резервной копии и ещё более внимательно – за количеством файлов в ней, ибо это первейший признак несанкционированного изменения содержания сайта. Обычно в полных копиях CMS с содержанием сайта это пятизначное число. Если это число однажды явно изменится в непредсказуемых и неожиданных пределах, – значит, в недрах вашего сайта появилось что-то постороннее. Никогда не ставьте в качестве админских логинов слова типа "admin", "manager", "editor" и т.п. Потому что именно эти слова используют взломщики в парах "логин-пароль", идущие "в лоб" через вход в ПУ.

Итак, как мы уже ранее выше сообщали, что до 2022 года всё это носило почти случайный характер. Позже уже в 2023-м это приобрело некую устойчивую, по пока редкую природу. Мы потихоньку записывали в запретный список IP-адресочки и спали более-менее спокойно. Но вот осенью 2024 года вместе с курскими событиями это стало превращаться в настоящую кибервойну. Думается, в такой же ситуации оказались и многие другие сайты МСП и наших коллег. Мы начали осознанно обращать внимание на названия стран, откуда исходили эти действия. Почти всегда в этот период это были европейские страны. Ранее в 2022-м и до него – также и США. Период примерно с ноября 2024-го по март 2025-го ознаменовался некоторым спадом вредоносной интернет-активности. Которая, в свою очередь, серьёзно возросла сразу после майских праздников. Единичные несерийные попытки взлома сайта происходили как минимум два раза в неделю. Но то, что случилось 6-8 июля, повергло в реальный ужас. Это был первый в практике нашего сайта приход настоящего ботнета. Который "долбил" сайт отовсюду в течение 50 часов более 120 раз несколькими периодами. Мы все эти натурально вражеские IP-адреса закрыли и атаки прекратились. Раздел запретов IP-адресов в файле ".htaccess" всего за три дня разросся в три раза. Далее мы тщательно и аккуратно сделали Excel-файл (см. на иллюстрации-заставке статьи), проанализировали, посчитали наименования в нём и вот ниже – эти наименования и страны. Их получилось всего несколько. Меньше трёх позиций которые – в списке не приведены. Ведь, простите, – ежели постоянно, в течение нескольких дней разные сайты-анализаторы в разное время указывают на одних и тех же субъектов информационного рынка, то какие тут могут быть возражения и оправдания? Пусть отлавливают злоумышленников и совершенствуют регламенты пользования их услугами. Это, как ни крути, их негативная репутация. И данный список заметно коррелируется со списками в статьях по выше размещённым ссылкам.

• OVH SAS – Франция, это оказался безусловный "лидер" за те трое суток – 41 позиция
• Cogent Communications (Datacamp Limited) – США, Бельгия, Германия, ЮАР, Колумбия, Англия, Италия, Япония, Австрия, Болгария, Польша, Сингапур – 20 позиций
• M247 Europe SRL – Армения, Португалия, Казахстан, Норвегия, Бразилия, Румыния, Мексика, Лихтенштейн, Египет, Франция, Грузия, США – 20 позиций
• SURF B.V. – Нидерланды – 8 позиций
• Blix Solutions – Норвегия (Осло) – 6 позиций
• Foundation for Applied Privacy – Австрия – 6 позиций
• Fibergrid (Orion Network Limited) – Латвия (Рига) – 4 позиции
• GleSYS Internet Services AB (GleSYS AB) – Швеция, Дания, Финляндия – 3 позиции