Дата публикации: 06.07.2026

В середине июня мы подбросили своему сайту приманку. Разложили по credos.ru пару десятков дверей, которых там быть не должно, — страницу входа в WordPress, файл с паролями, дамп базы в корне. Ни одна никуда не ведёт. Точнее, ведёт — прямиком в наш лог. Живой человек по такому адресу не пойдёт: там пусто, смотреть нечего. А вот сканеры идут. И не по разу.

За 19 дней в ловушку залетело 595 обращений с 97 разных адресов. В пересчёте на месяц — под девятьсот, хотя точное число тут вторично. Важнее, что поток не иссякал ни на сутки.

Ради этого всё и затевалось — чтобы показать наглядно: отговорка «да кому я нужен» не работает. Совсем. Боту всё равно, кто вы, чем торгуете и есть ли у вас хоть один посетитель. Вас никто не выбирал. По сети едет конвейер сканеров — адрес за адресом, подряд — и на каждом сайте дёргает одни и те же ручки. Мы просто посмотрели, за какие дёргали у нас.

Как устроен эксперимент

Ловушка стоит сбоку и ядро сайта не трогает. Запрос к приманке мы перехватываем раньше, чем его увидит Bitrix: записываем, кто пришёл, когда, каким методом и по какому адресу, — и отдаём обычную страницу «не найдено». Для бота всё буднично: постучался, получил от ворот поворот, поехал дальше. А у нас осталась точная запись. Ничего из присланного не запускается — ловушка только слушает.

«Honeypot хорош тем, что почти не ошибается. Нормальному посетителю нечего делать на странице входа в чужую CMS или в файле с паролями. Кто туда постучал — тот почти наверняка не клиент».

Василий Сеничев, заместитель директора «Кредо-С»

Что показал лог: за чем приходили боты

Если разложить все 595 обращений по целям, картина получается такая:

Категория целиОбращенийДоля
Файлы бэкапов (.sql, .zip, /backup/)19533%
WordPress (wp-login, wp-admin)18431%
Конфиги и секреты (.env, .git, .aws, .ssh)8614%
Панели БД (phpMyAdmin, Adminer)6110%
Прочее508%
Срабатывания honeytokens (наживка)173%
Попытки RCE (phpunit)20,3%

В среднем — под тридцать обращений в сутки, в пиках до ста двадцати. Плотнее всего долбились в phpMyAdmin: шестьдесят один заход только по одной панели. Дальше дежурный набор — файл .env с паролями, вход в WordPress, папка /backup/. Мелькнул даже архив.sql: кто-то научил своих ботов русским именам файлов. Примета рунета. И за каждой строчкой в этом логе — не человек, а скрипт, который прямо сейчас гоняет тот же список по тысячам сайтов подряд.

Находка 1. Главная добыча — забытый бэкап

Треть всех визитов — 195 из 595 — это охота за резервными копиями. Боты перебирали все ходовые имена дампов, какие только бывают: от backup.sql до того самого архив.sql. Логика у скрипта простая и холодная. Один дамп базы, забытый в корне сайта, отдаёт всё разом — структуру, логины, хеши паролей, а нередко и данные клиентов. Взламывать ничего не нужно. Достаточно скачать по прямой ссылке.

«Незащищённый дамп в открытой папке — это не риск, это уже утечка. Просто вы о ней пока не знаете. Бот найдёт такой файл за часы».

Василий Сеничев, заместитель директора «Кредо-С»

Беда не в самом бэкапе, а в том, где он лежит и кто до него дотянется. Правильно выстроенное резервное копирование держит копии вне веб-доступа, шифрует их и раздаёт доступ по списку — а не всем, кто знает адрес.

⚖ Правовой контекст. Если в утёкшем дампе оказались персональные данные, это уже инцидент по 152-ФЗ. У оператора появляется обязанность уведомить Роскомнадзор, а сама утечка наказуема по ст. 13.11 КоАП — для юрлица это миллионы рублей, а при повторе штраф становится оборотным. Точные суммы — в разделе «Экспертиза» ниже.

Находка 2. Ищут не пароли, а ключи

Ещё 86 обращений пришлись на секреты. И вот тут интереснее всего: бот не подбирает пароль, он ищет ключ, который вы сами случайно выложили наружу. Чаще всего метили в файл .env — в нём обычно и пароль к базе, и токены сервисов. Реже, но метко пробовали и приватный SSH-ключ.

Разница принципиальная. Пароль надо угадать, а ключ — просто поднять с земли. Утёкший SSH-ключ — это не «дырка в сайте», это вход на сервер целиком: злоумышленник заходит как вы, ставит шифровальщик или майнер, и сайт тут уже вообще ни при чём. Строка подключения из .env — это доступ к базе напрямую: если она открыта наружу (а на shared-хостинге это сплошь и рядом), клиентская база оказывается в руках без единой попытки подбора. Токен от платёжки или рассылки — это операции и письма от вашего имени.

С этого начинается любое настоящее проникновение. И ровно с этого начинаем мы, когда проводим тестирование на проникновение (пентест): смотрим на периметр глазами атакующего, пока это не сделал бот.

«В пентесте мы начинаем с того же, с чего бот, — смотрим, что торчит наружу. Разница одна: мы приносим отчёт, а бот — нет».

Василий Сеничев, заместитель директора «Кредо-С»

Находка 3. WordPress ломают, даже когда его нет

Почти треть визитов — 184 штуки — ушла на WordPress: вход и админку. Смешно то, что WordPress у нас нет и никогда не было — сайт на Bitrix. Боту это неинтересно. Он не выясняет, какой у вас движок, — бьёт веером по дырам всех популярных CMS сразу, вдруг где-то откликнется. Сюда же 61 стук в панели управления базой.

А если где-то откликнется? Веер бота ничего не стоит — он перебирает тысячи сайтов в час, ему хватит одного попадания. И одной вашей незакрытой двери. Забытая тестовая CMS, оставленная после переноса панель с паролем по умолчанию — и это прямой вход в базу в обход сайта, формы логина и всей защиты. Вы даже не заметите: снаружи сайт работает как ни в чём не бывало.

Ровно эту поверхность и пересчитывает по головам аудит информационной безопасности: что из служебного реально доступно снаружи и отвечает — чтобы вы закрыли это раньше бота.

Находка 4. Ловушка сработала 17 раз — и это лучшее, что в ней есть

Семнадцать раз боты наступили на honeytokens — наживку, которую мы спрятали специально: фальшивые адреса, зашитые там, где их найдёт только тот, кто целенаправленно роется в сайте. Ногами туда не заходят — там нечего смотреть. Поэтому каждое такое срабатывание — не шум, а адресный сигнал: прямо сейчас кто-то вас ковыряет.

И это одно из немногих окон, когда взлом ещё можно предотвратить, — пока разведка не превратилась в проникновение. Проспали сигнал — узнаете об атаке из её последствий: из требования выкупа, из звонка клиента, из плашки «опасно» в поиске. То есть тогда, когда чинить уже долго и дорого.

В этом и смысл мониторинга событий информационной безопасности: не разбирать инцидент задним числом, а видеть подозрительную возню в момент, когда она идёт.

Что бывает, когда бот находит искомое

Пока бот стучит в закрытые двери — это фон. Всё меняется в ту секунду, когда одна дверь оказалась открыта. Дальше — не теория, а сценарии, которые мы разбираем у обратившихся к нам компаний:

  • Дефейс. На главной вместо вашего оффера — чужая страница или баннер. Клиент, зашедший купить, видит взломанный сайт и уходит. Доверие рушится за минуту, а собирается месяцами.
  • Шифровальщик. Нашли ключ или доступ к базе — зашифровали всё и требуют выкуп. Нет чистого бэкапа — бизнес встал целиком: ни сайта, ни заказов, ни клиентской базы.
  • Скрытый майнер. Сервер тихо работает на чужого хозяина: грузится под сотню, сайт тормозит и падает, хостинг блокирует аккаунт за абузу. Вы платите за чужой майнинг и за простой.
  • Кража клиентской базы. Тот самый незащищённый дамп уезжает целиком. Это уже утечка персональных данных — со штрафами из таблицы ниже, реестром нарушителей Роскомнадзора и клиентами, которые узнали, что их слили.
  • Бан в поиске. Заражённый сайт Яндекс и Google метят плашкой «опасно». Трафик и продажи обваливаются в ноль за сутки, а снятие метки тянется неделями.
  • Спам с вашего домена. Через взломанный сайт рассылают фишинг от вашего имени. Домен улетает в чёрные списки — и обычные письма клиентам перестают доходить.

Как защитить сайт от взлома: короткий чеклист

Базовая защита сайта от взлома и автоматических атак начинается не с дорогих средств, а с четырёх простых шагов — закрыть ровно то, что боты дёргают чаще всего:

  1. Уберите дампы базы и архивы из веб-доступа. Проверьте прямо сейчас — откройте /backup.sql у себя в браузере. Если что-то отдалось, у вас проблема.
  2. Закройте от веб-отдачи служебные файлы и папки — .env, .git, ключи.
  3. Закройте панели управления базой от внешнего доступа — ограничьте по IP, уберите за VPN или снимите совсем. Просто переименовать мало: сканер находит панель по сигнатуре, а не по адресу.
  4. Включите запись подозрительных обращений — так фон превратится в сигнал.

Как закрыть эти двери — и кто это делает

Чеклист выше снимает то, что на поверхности. Загвоздка в том, что боты знают не четыре пути, а сотни, и периметр меняется с каждым обновлением. Разово «замазать дыры» мало — нужно видеть системно, что торчит наружу и кто по этому ходит. Этим мы и занимаемся:

  • Аудит информационной безопасности — снимаем карту периметра: какие пути, панели и файлы реально доступны снаружи. С этого стоит начинать.
  • Пентест — не список дыр, а проверка, что через них реально можно сделать. Мы проходим путём бота, но приносим отчёт, а не выкуп.
  • Защита резервного копирования — чтобы даже в худшем сценарии у вас остался чистый бэкап, до которого шифровальщик не дотянется.
  • Мониторинг событий ИБ — чтобы видеть подозрительную активность вживую, а не читать о ней в требовании выкупа.

У «Кредо-С» лицензия ФСТЭК, и такие проверки мы ведём для компаний под 152-ФЗ, 187-ФЗ и ГОСТ. Проще всего начать с аудита.

Оставьте заявку — и мы покажем, какие двери на вашем сайте сейчас открыты для ботов.

Оставить заявку

Экспертиза: сколько стоит один забытый бэкап

Все суммы приведены по ст. 13.11 КоАП РФ (в редакции от 08.03.2026) и указаны для юридического лица.

Забытый дамп — это не только техническая небрежность. Как только в нём оказываются персональные данные клиентов, включается 152-ФЗ, и у владельца сайта появляется набор прямых обязанностей. Вот что требует закон — и что рушится, когда этот дамп уносит бот:

Что требует законНормаЧто нарушает утёкший бэкап
Обеспечить безопасность ПДн: организационные и технические меры152-ФЗ, ст. 18.1 / ст. 19ПДн лежат в открытом веб-доступе без защиты
Иметь законное основание обработки152-ФЗ, ст. 6данные хранятся и «раздаются» вне правового основания
Опубликовать политику обработки ПДн152-ФЗ, ст. 18.1 ч. 2заявленный режим защиты не соблюдается фактически
Уведомить Роскомнадзор152-ФЗ, ст. 22; ч. 11 ст. 13.11 КоАПоб инциденте и об обработке

Невыполнение этих требований и есть состав по ст. 13.11 КоАП РФ. Размер штрафа привязан к масштабу утечки:

Что произошлоНормаШтраф для юрлица
Не уведомили Роскомнадзор об утечкеч. 11 ст. 13.111–3 млн ₽
Утечка данных 1 000–10 000 субъектовч. 12 ст. 13.113–5 млн ₽
Утечка 10 000–100 000 субъектовч. 13 ст. 13.115–10 млн ₽
Утечка более 100 000 субъектовч. 14 ст. 13.1110–15 млн ₽
Повторная утечка (оборотный штраф)ч. 15 ст. 13.111–3% годовой выручки, от 20 до 500 млн ₽

Отдельно закон обязывает оператора уведомить Роскомнадзор об утечке — и само по себе неисполнение этой обязанности уже образует состав по ч. 11 ст. 13.11 КоАП (для юрлица 1–3 млн ₽, строка в таблице выше). А если утечка стала следствием неправомерного доступа к системе, дело выходит за рамки КоАП: наступает уголовная ответственность за преступления в сфере компьютерной информации (глава 28 УК РФ). Это прямо оговаривает сам текст КоАП — «если действия не содержат признаков уголовно наказуемого деяния».

Мораль простая. Стоимость нормально настроенного резервного копирования несопоставима с нижней границей одного такого штрафа.

Сеничев Василий
Сеничев Василий
Заместитель директора
Между «по нам просто ходят боты» и «нас зашифровали» — ровно одна забытая дверь. О ней хозяин узнаёт не из отчёта, а из требования выкупа. Наша работа — найти её раньше бота.

Часто задаваемые вопросы

Это были целевые атаки на «Кредо-С» — или обычное сканирование? И чем они отличаются?
Почти всё — массовое автоматическое сканирование, которое достаётся любому сайту в открытом доступе. Бот работает вслепую и вширь: перебирает известные дыры на всех подряд, не разбираясь, кто вы. Целевая атака — это уже человек, который изучает конкретно вашу инфраструктуру. Массовые боты берут не хитростью, а числом: им хватит одной вашей ошибки. Ценность нашего эксперимента не в «на нас напали», а в честной картине того, что ищут боты. Поведение целевого злоумышленника моделирует <a href="/uslugi/informatsionnaya-bezopasnost/pentesting/">пентест</a>.
595 обращений за 19 дней — это много?
Это обычный фон: около тридцати обращений в сутки, в пиках до ста двадцати. Проблемой они становятся только там, где боту есть что найти.
Откуда данные?
Собственная ловушка на боевом credos.ru, с 18 июня по 7 июля 2026 года. Из подсчёта мы исключили обращения к самому эндпоинту ловушки и легитимные поисковые краулеры. Географию не приводим — в этом наборе она не фиксировалась.
Как понять, что мой сайт сканируют боты?
Проще всего — по логам веб-сервера: массовые обращения к адресам, которых у вас нет и быть не должно. Само сканирование в логах видно всегда — беда в том, что их обычно никто не читает, и о происходящем узнают уже по факту инцидента. Регулярный разбор таких обращений — базовая функция <a href="/uslugi/informatsionnaya-bezopasnost/monitoring-sobitiy-ib/">мониторинга событий информационной безопасности</a>.
Можно ли полностью защититься от ботов-сканеров?
Полностью — нет, и любой, кто обещает стопроцентную защиту, лукавит. Сам факт сканирования не убрать: это фон интернета, он идёт на любой публичный адрес. Реалистичная цель другая — не «стать неуязвимым», а резко снизить риск и держать его низким: закрыть служебные пути, убрать секреты и бэкапы из веб-доступа, сжать поверхность атаки. Причём это не разовая настройка, а постоянная работа — периметр меняется с каждым обновлением. Что именно у вас открыто сейчас, показывает <a href="/uslugi/informatsionnaya-bezopasnost/Audit_monitoring_IB/">аудит информационной безопасности</a>, а пентест проверяет, что через это реально можно сделать.

Остались вопросы? Оставьте заявку

Ваше имя:*
Телефон:*
E-mail:*
Опишите вашу задачу:

Я соглашаюсь на обработку персональных данных