В середине июня мы подбросили своему сайту приманку. Разложили по credos.ru пару десятков дверей, которых там быть не должно, — страницу входа в WordPress, файл с паролями, дамп базы в корне. Ни одна никуда не ведёт. Точнее, ведёт — прямиком в наш лог. Живой человек по такому адресу не пойдёт: там пусто, смотреть нечего. А вот сканеры идут. И не по разу.
За 19 дней в ловушку залетело 595 обращений с 97 разных адресов. В пересчёте на месяц — под девятьсот, хотя точное число тут вторично. Важнее, что поток не иссякал ни на сутки.
Ради этого всё и затевалось — чтобы показать наглядно: отговорка «да кому я нужен» не работает. Совсем. Боту всё равно, кто вы, чем торгуете и есть ли у вас хоть один посетитель. Вас никто не выбирал. По сети едет конвейер сканеров — адрес за адресом, подряд — и на каждом сайте дёргает одни и те же ручки. Мы просто посмотрели, за какие дёргали у нас.
Ловушка стоит сбоку и ядро сайта не трогает. Запрос к приманке мы перехватываем раньше, чем его увидит Bitrix: записываем, кто пришёл, когда, каким методом и по какому адресу, — и отдаём обычную страницу «не найдено». Для бота всё буднично: постучался, получил от ворот поворот, поехал дальше. А у нас осталась точная запись. Ничего из присланного не запускается — ловушка только слушает.
«Honeypot хорош тем, что почти не ошибается. Нормальному посетителю нечего делать на странице входа в чужую CMS или в файле с паролями. Кто туда постучал — тот почти наверняка не клиент».
— Василий Сеничев, заместитель директора «Кредо-С»
Если разложить все 595 обращений по целям, картина получается такая:
| Категория цели | Обращений | Доля |
|---|---|---|
| Файлы бэкапов (.sql, .zip, /backup/) | 195 | 33% |
| WordPress (wp-login, wp-admin) | 184 | 31% |
| Конфиги и секреты (.env, .git, .aws, .ssh) | 86 | 14% |
| Панели БД (phpMyAdmin, Adminer) | 61 | 10% |
| Прочее | 50 | 8% |
| Срабатывания honeytokens (наживка) | 17 | 3% |
| Попытки RCE (phpunit) | 2 | 0,3% |
В среднем — под тридцать обращений в сутки, в пиках до ста двадцати. Плотнее всего долбились в phpMyAdmin: шестьдесят один заход только по одной панели. Дальше дежурный набор — файл .env с паролями, вход в WordPress, папка /backup/. Мелькнул даже архив.sql: кто-то научил своих ботов русским именам файлов. Примета рунета. И за каждой строчкой в этом логе — не человек, а скрипт, который прямо сейчас гоняет тот же список по тысячам сайтов подряд.
Треть всех визитов — 195 из 595 — это охота за резервными копиями. Боты перебирали все ходовые имена дампов, какие только бывают: от backup.sql до того самого архив.sql. Логика у скрипта простая и холодная. Один дамп базы, забытый в корне сайта, отдаёт всё разом — структуру, логины, хеши паролей, а нередко и данные клиентов. Взламывать ничего не нужно. Достаточно скачать по прямой ссылке.
«Незащищённый дамп в открытой папке — это не риск, это уже утечка. Просто вы о ней пока не знаете. Бот найдёт такой файл за часы».
— Василий Сеничев, заместитель директора «Кредо-С»
Беда не в самом бэкапе, а в том, где он лежит и кто до него дотянется. Правильно выстроенное резервное копирование держит копии вне веб-доступа, шифрует их и раздаёт доступ по списку — а не всем, кто знает адрес.
⚖ Правовой контекст. Если в утёкшем дампе оказались персональные данные, это уже инцидент по 152-ФЗ. У оператора появляется обязанность уведомить Роскомнадзор, а сама утечка наказуема по ст. 13.11 КоАП — для юрлица это миллионы рублей, а при повторе штраф становится оборотным. Точные суммы — в разделе «Экспертиза» ниже.
Ещё 86 обращений пришлись на секреты. И вот тут интереснее всего: бот не подбирает пароль, он ищет ключ, который вы сами случайно выложили наружу. Чаще всего метили в файл .env — в нём обычно и пароль к базе, и токены сервисов. Реже, но метко пробовали и приватный SSH-ключ.
Разница принципиальная. Пароль надо угадать, а ключ — просто поднять с земли. Утёкший SSH-ключ — это не «дырка в сайте», это вход на сервер целиком: злоумышленник заходит как вы, ставит шифровальщик или майнер, и сайт тут уже вообще ни при чём. Строка подключения из .env — это доступ к базе напрямую: если она открыта наружу (а на shared-хостинге это сплошь и рядом), клиентская база оказывается в руках без единой попытки подбора. Токен от платёжки или рассылки — это операции и письма от вашего имени.
С этого начинается любое настоящее проникновение. И ровно с этого начинаем мы, когда проводим тестирование на проникновение (пентест): смотрим на периметр глазами атакующего, пока это не сделал бот.
«В пентесте мы начинаем с того же, с чего бот, — смотрим, что торчит наружу. Разница одна: мы приносим отчёт, а бот — нет».
— Василий Сеничев, заместитель директора «Кредо-С»
Почти треть визитов — 184 штуки — ушла на WordPress: вход и админку. Смешно то, что WordPress у нас нет и никогда не было — сайт на Bitrix. Боту это неинтересно. Он не выясняет, какой у вас движок, — бьёт веером по дырам всех популярных CMS сразу, вдруг где-то откликнется. Сюда же 61 стук в панели управления базой.
А если где-то откликнется? Веер бота ничего не стоит — он перебирает тысячи сайтов в час, ему хватит одного попадания. И одной вашей незакрытой двери. Забытая тестовая CMS, оставленная после переноса панель с паролем по умолчанию — и это прямой вход в базу в обход сайта, формы логина и всей защиты. Вы даже не заметите: снаружи сайт работает как ни в чём не бывало.
Ровно эту поверхность и пересчитывает по головам аудит информационной безопасности: что из служебного реально доступно снаружи и отвечает — чтобы вы закрыли это раньше бота.
Семнадцать раз боты наступили на honeytokens — наживку, которую мы спрятали специально: фальшивые адреса, зашитые там, где их найдёт только тот, кто целенаправленно роется в сайте. Ногами туда не заходят — там нечего смотреть. Поэтому каждое такое срабатывание — не шум, а адресный сигнал: прямо сейчас кто-то вас ковыряет.
И это одно из немногих окон, когда взлом ещё можно предотвратить, — пока разведка не превратилась в проникновение. Проспали сигнал — узнаете об атаке из её последствий: из требования выкупа, из звонка клиента, из плашки «опасно» в поиске. То есть тогда, когда чинить уже долго и дорого.
В этом и смысл мониторинга событий информационной безопасности: не разбирать инцидент задним числом, а видеть подозрительную возню в момент, когда она идёт.
Пока бот стучит в закрытые двери — это фон. Всё меняется в ту секунду, когда одна дверь оказалась открыта. Дальше — не теория, а сценарии, которые мы разбираем у обратившихся к нам компаний:
Базовая защита сайта от взлома и автоматических атак начинается не с дорогих средств, а с четырёх простых шагов — закрыть ровно то, что боты дёргают чаще всего:
Чеклист выше снимает то, что на поверхности. Загвоздка в том, что боты знают не четыре пути, а сотни, и периметр меняется с каждым обновлением. Разово «замазать дыры» мало — нужно видеть системно, что торчит наружу и кто по этому ходит. Этим мы и занимаемся:
У «Кредо-С» лицензия ФСТЭК, и такие проверки мы ведём для компаний под 152-ФЗ, 187-ФЗ и ГОСТ. Проще всего начать с аудита.
Оставьте заявку — и мы покажем, какие двери на вашем сайте сейчас открыты для ботов.
Оставить заявку
Все суммы приведены по ст. 13.11 КоАП РФ (в редакции от 08.03.2026) и указаны для юридического лица.
Забытый дамп — это не только техническая небрежность. Как только в нём оказываются персональные данные клиентов, включается 152-ФЗ, и у владельца сайта появляется набор прямых обязанностей. Вот что требует закон — и что рушится, когда этот дамп уносит бот:
| Что требует закон | Норма | Что нарушает утёкший бэкап |
|---|---|---|
| Обеспечить безопасность ПДн: организационные и технические меры | 152-ФЗ, ст. 18.1 / ст. 19 | ПДн лежат в открытом веб-доступе без защиты |
| Иметь законное основание обработки | 152-ФЗ, ст. 6 | данные хранятся и «раздаются» вне правового основания |
| Опубликовать политику обработки ПДн | 152-ФЗ, ст. 18.1 ч. 2 | заявленный режим защиты не соблюдается фактически |
| Уведомить Роскомнадзор | 152-ФЗ, ст. 22; ч. 11 ст. 13.11 КоАП | об инциденте и об обработке |
Невыполнение этих требований и есть состав по ст. 13.11 КоАП РФ. Размер штрафа привязан к масштабу утечки:
| Что произошло | Норма | Штраф для юрлица |
|---|---|---|
| Не уведомили Роскомнадзор об утечке | ч. 11 ст. 13.11 | 1–3 млн ₽ |
| Утечка данных 1 000–10 000 субъектов | ч. 12 ст. 13.11 | 3–5 млн ₽ |
| Утечка 10 000–100 000 субъектов | ч. 13 ст. 13.11 | 5–10 млн ₽ |
| Утечка более 100 000 субъектов | ч. 14 ст. 13.11 | 10–15 млн ₽ |
| Повторная утечка (оборотный штраф) | ч. 15 ст. 13.11 | 1–3% годовой выручки, от 20 до 500 млн ₽ |
Отдельно закон обязывает оператора уведомить Роскомнадзор об утечке — и само по себе неисполнение этой обязанности уже образует состав по ч. 11 ст. 13.11 КоАП (для юрлица 1–3 млн ₽, строка в таблице выше). А если утечка стала следствием неправомерного доступа к системе, дело выходит за рамки КоАП: наступает уголовная ответственность за преступления в сфере компьютерной информации (глава 28 УК РФ). Это прямо оговаривает сам текст КоАП — «если действия не содержат признаков уголовно наказуемого деяния».
Мораль простая. Стоимость нормально настроенного резервного копирования несопоставима с нижней границей одного такого штрафа.
Остались вопросы? Оставьте заявку
Я соглашаюсь на обработку персональных данных
300034, г. Тула, ул. Демонстрации, 27
офисы: Тула, Москва
ООО «КРЕДО-С»ИНН 7106014366КПП 710601001ОГРН 1027100747596300034, г. Тула, ул. Демонстрации, 27офисы: Тула, Москвана рынке с 1993 года