0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Удаление вирусов с сайта

Содержание

Удаление вирусов с сайта

За долгие годы практики мы можем с уверенностью сказать, что, в основном, вредоносный код (вирус) попадает на сайт через систему управления (CMS). Это происходит так: пользователь скачивает документ с неизвестного источника и публикует его без проверки антивирусником. Или пользователь скачивает документ с официального источника / получает документ от доверенного лица с ошибкой, которую невозможно визуально увидеть. Так сайт становится уязвим.

Другой вариант: вы можете скачать «здоровый» файл на зараженный компьютер. И при передаче файла следующему получателю есть вероятность, что вы отправите файл вместе с вирусом. В данном случае вред будет исходить от вашего компьютера. Нужно регулярно проверять его антивирусом и лечить.

Сайт может стать уязвимым к вирусам из-за плохо проработанного кода. Злоумышленники постоянно находятся в статусе поиска подобных сайтов. Если кратко, то происходит это так: найдя уязвимость, хакеры внедряют на сайт вредоносный код. Проверяйте и защищайте ваш сайт современными антивирусниками, чтобы не попасть в зону риска.

Последствия от вредоносного кода могут быть любыми:

  • спам-рассылка для подписанных пользователей,
  • замена картинок, видео и текстового содержимого,
  • передача паролей и данных пользователей/клиентов третьим лицам,
  • просмотр отчетности и заказов злоумышленниками,
  • получение доступа к почтовым ящикам ваших сотрудников,
  • изменение вида веб-страниц сайта,
  • редирект (перенаправление) на другие сайты,
  • распространение рекламы на страницах сайта,
  • и другой вред, нарушающий обычный режим работы.

Также причиной взлома может стать простой пароль пользователя для входа в систему управления сайтом. Получив доступ, злоумышленник подвергает сайт любым изменениям даже если у пользователя был доступ только к редактированию текстового содержания страниц.

Что такое Badware

Лучший способ заразить тысячи компьютеров — это создать вредоносный веб-сайт. А еще лучше взломайте популярный сайт и вставьте вредоносный код. Таким образом, тысячи посетителей сайта будут затронуты при посещении сайта.

Зловредное ПО — это название вредоносного ПО, присутствующего на веб-сайтах — в коде сайта или в вредоносной рекламе или вредоносных программах, отображаемых на веб-сайте. Хотя веб-мастера могут не контролировать вредоносную рекламу, размещаемую на их сайтах рекламными сетями, пользователи могут оставаться в безопасности, используя некоторые меры предосторожности. Пожалуйста, прочитайте нашу статью о Malvertising , чтобы узнать, как вредоносная реклама работает без ведома веб-мастеров.

Вредоносное ПО — это программное обеспечение, которое в основном игнорирует выбор пользователя о том, как будет использоваться его или ее компьютер или сетевое соединение. Веб-сайт вредоносного ПО — это веб-сайт, который помогает распространять вредоносное ПО намеренно или потому, что оно было скомпрометировано. Многие нормальные, законные сайты заражены и превращаются в вредоносные сайты без ведома их владельцев.

Возвращаясь к веб-сайтам, вредоносные программы устанавливаются веб-мастерами в очень редких случаях. В более чем 90% случаев они являются жертвами, которые не знают, что их сайт был взломан и что в код сайта был вставлен вредоносный код. Это, в свою очередь, заражает многих посетителей, которые посещают сайт.

На веб-сайте есть различные элементы, из которых контент сайта и реклама составляют важные элементы, и, следовательно, эти два набора являются основными целями веб-преступников. Имейте в виду, что использование блокировщика рекламы не снизит ваши шансы на заражение через зараженный веб-сайт, поскольку вредоносные скрипты такого типа обходят блокировщики рекламы.

Как я узнаю, что сайт заражен

Если нет видимых предупреждений и если сами веб-мастера не знают, что их сайты были взломаны, как вы узнаете, заражен ли сайт? Я разобью ответ на следующее:

  1. Когда вы пытаетесь посетить зараженный сайт с помощью любого из стандартных браузеров, вы получите сообщение о том, что посещение сайта может быть опасным. Текст сообщения может быть другим, но вы увидите предупреждение на веб-сайте. Поскольку могут быть ложные срабатывания, большинство браузеров предоставляют вам возможность продолжить посещение сайта на свой страх и риск. Ваше программное обеспечение безопасности также может выдать предупреждение, что посещение веб-сайта может быть опасным.
  2. Поиск веб-сайта с использованием популярных поисковых систем выдает описание, которое не имеет отношения к веб-сайту. Если вы посещали веб-сайт ранее, вы можете сразу сказать, что что-то не так, увидев описание сайта на страницах результатов поиска (SERPs).
  3. Если вы являетесь владельцем веб-сайта и имеете учетные записи веб-мастеров в Google, вы будете получать уведомления о возможных вредоносных программах на вашем веб-сайте.
  4. Вы обнаружите, что права доступа к файлам были изменены.
  5. Вы можете столкнуться с нежелательными и неожиданными перенаправлениями , когда нажимаете на название своего веб-сайта, когда оно появляется на страницах результатов поисковой системы.
  6. В некоторых случаях вы можете увидеть новых пользователей на панели инструментов для веб-мастеров; в других случаях разрешения для пользователей могли измениться.

Из всех пяти приведенных выше указаний первым является безошибочный метод обнаружения взлома сайта. Для получения таких предупреждений ваши браузеры, плагины и программное обеспечение для обеспечения безопасности всегда должны быть обновлены до последней версии. Если у вас установлен хороший антивирус или Internet Security Suite, он будет автоматически обновляться почти каждый день.

Я остановлюсь больше на обновлениях браузеров и запуске последних версий, так как они будут содержать различные меры безопасности, встроенные в браузер. В Internet Explorer есть фильтр SmartScreen. Аналогичным образом, в Google Chrome есть возможность включить или отключить защиту от вредоносных программ в разделе «Настройки». Он включен по умолчанию. У Mozilla Firefox эта опция включена. В некоторых случаях Firefox может просто отказаться от загрузки сайта, который он считает небезопасным для вас.

Вы можете использовать любой из этих онлайн-сканеров URL-адресов для сканирования веб-сайтов на наличие вредоносных программ, вирусов, фишинга и т. Д. Если вы чувствуете необходимость, вы также можете установить в браузере любое из этих расширений для сканеров URL-адресов и проверки ссылок.

Если вы столкнулись с потенциально опасным веб-сайтом, вы можете сообщить об этом в Google здесь . Google затем просканирует веб-сайт и выяснит, действительно ли это вредоносное ПО. сайт.

Как сайты заражаются вредоносным ПО

Есть два основных метода:

  1. Взломайте сайт и вставьте вредоносный скрипт в код без ведома веб-мастеров.
  2. Вставьте вредоносную рекламу , используя рекламные сети, которые ставят под угрозу веб-сайт
Читать еще:  Подготовка к работе на торговых площадках

Есть и другие методы. Например, если вы использовали зараженный компьютер для загрузки файлов на веб-сайт, он заражен. В этом случае не участвует третья сторона, но сайт все еще опасен. Взломать сайты легко, если веб-мастера используют устаревшие инструменты и забывают применять патчи и т. Д.

Что делать, если ваш сайт содержит вредоносное ПО

На StopBadware.org перечислены некоторые шаги. Я перечисляю некоторые из них простым языком и вкратце.

  1. Переведите свой веб-сайт в автономный режим , чтобы он больше не влиял на пользователей. Если у вас есть резервная копия вашего веб-сайта, вы можете загрузить ее после проверки ее чистоты.
  2. Сканируйте код веб-сайта на наличие вредоносного JavaScript . Они могут быть хитрыми, поскольку они могут выглядеть как законные сценарии. Например, буква L в Google идентична букве «i» в столицах. Это может занять много времени, в зависимости от размера ваших сайтов.
  3. Проверьте файл .htaccess на наличие неверных перенаправлений.
  4. Найдите iframes , которые имеют высоту и ширину с нулем в качестве значения.

Как вредоносное ПО влияет на репутацию сайта

Во-первых, это отпугнет пользователей, пытающихся попасть на ваш сайт. Как объяснялось выше, когда пользователи пытаются получить доступ к веб-сайту с вредоносным кодом, они получают предупреждение либо из браузера, либо из своего антивирусного программного обеспечения. Такие предупреждения будут удерживать пользователей от посещения ваших сайтов — особенно новых.

Во-вторых, что более важно, Google, Bing и другие крупные поисковые системы будут отображать предупреждение в результатах поиска или даже помещать его в черный список, если обнаружат, что ваш сайт был взломан. Вы должны быть активными.

Когда вы удаляете вредоносный код со своего веб-сайта, вы должны попросить Google или любую другую организацию, которая занесла ваш веб-сайт в черный список, проверить и включить ваш сайт в свои страницы результатов поиска. Возможно, вас заинтересует Инструменты для веб-мастеров Google и Bing, в которых объясняется, что делать при взломе веб-сайта.

StopBadware.org сделал юмористическое видео, которое поможет вам лучше понять вредоносное ПО и как с ним бороться. Сайт также предлагает полезные ресурсы о Badware.

Пользователи WordPress могут захотеть проверить этот пост о том, как защитить веб-сайт WordPress .

Будьте осторожны, оставайтесь в безопасности!

Сканирование сайта на вирусы

Есть несколько проверенных сервисов, которые позволяют проверить веб-ресурс на присутствие вредоносного кода. Рассмотрим вкратце каждый из них.

VirusTotal

Через несколько секунд отобразятся результаты сканирования. Если вирусов не обнаружено, напротив большинства сканеров будет стоять зеленая надпись: «Clean site», а возле некоторых может быть серая: «Unrated site». Это означает, что сканер попросту не смог проверить сайт. Но так как большинство других показывают, что всё чисто, им можно верить.

Если вирус найдется, будет высвечиваться уведомление красного цвета напротив того сканера, которому удалось его обнаружить.

ReScan.pro

Откройте главную страницу этого сервиса. Введите адрес сайта в строку и кликните по кнопке «Проверить».


В течение минуты ваш ресурс будет просканирован и станут доступны результаты проверки.

При обнаружении вирусов вы будете уведомлены. То же самое касается и просто подозрительных скриптов, которые размещены на вашем сайте.

AntivirusAlarm

Один из старейших ресурсов по проверке сайтов на вирусы. Чтобы просканировать свою площадку в нем, введите ссылку и нажмите на зеленую стрелочку напротив нее.

Если ранее данный сайт уже сканировался, вам будут показаны предыдущие результаты. Для повторной проверки нужно запустить сканирование снова. Процесс занимает пару минут.

В результатах вы увидите список подозрительных файлов и уведомление об отсутствии или наличии вируса по версиям нескольких десятков сканеров.

Найти и удалить зловредов

Когда в заражении нет сомнений, вредоносный код надо найти и удалить. Основная проблема — найти. Я просматриваю файлы сайта вручную, а также использую консоль.

Проанализировать HTML и JS-скрипты

Вредоносные скрипты часто добавляют в исходный код сайта (в браузере нажите Сtrl+U). Проверьте его на наличие посторонних JS-скриптов, iframe-вставок и спам-ссылок. Если найдёте — удалите.

Проверьте все JS-скрипты, которые подключаются во время загрузки страницы, нет ли в них посторонних вставок. Обычно их прописывают в начале и в конце JS-скрипта.

Все посторонние вставки удалите.

Бывает, что разобраться в коде сложно или он обфусцирован. Тогда сравните содержимое скрипта на сайте с оригинальным файлом из архива системы управления, плагина или шаблона.

Действительно, не всегда вредоносный скрипт — это отдельно подключенный файл, часто модифицируют один из существующих файлов. Если код обфусцирован, понять его не удастся. В таком случае стоит выяснить, в каком файле он находится.

Если это часть CMS, то надо проверить оригинальное содержимое такого файла, выгрузив архив с CMS такой же версии и сравнив содержимое этого файла.

Если файл самописный, т. е. не относится к компоненту CMS, то лучше обратиться к разработчику. Скорее всего он знает, что писал он, а что мог добавить зловред. В таком случае оригинальное содержимое можно заменить из бекапа.

Ростислав Воробьёв, сотрудник техподдержки ISPsystem

Проверить дату изменения файлов и папок

Если известно, когда взломали сайт, то вредоносный код можно найти по всем файлам, что были изменены с тех пор.

Например, взлом произошел несколько дней назад, тогда для вывода всех PHP-скриптов, которые были изменены за последние 7 дней, нужно использовать команду: find . –name ‘*.ph*’ –mtime -7

После выполнения команды нужно проанализировать найденные PHP-скрипты на возможные вредоносные вставки.

Это действительно помогает уменьшить список подозреваемых PHP-файлов, которые могут содержать зловредов. Однако не всегда зловреды в PHP-файлах. Немного модифицировав .htaccess файл, можно создать файл с разрешением .jpg, в нём разместить PHP-код и веб-сервер будет исполнять его как обычный PHP, но с виду это будет картинка — пример реализации.

Ростислав Воробьёв

Проанализировать директории upload/backup/log/image/tmp

Директории upload/backup/log/image/tmp потенциально опасны, так как обычно они открыты на запись. В большинстве случаев именно в них заливают shell-скрипты, через которые потом заражают файлы сайта и базу данных. Такие директории нужно проверять на возможные вредоносные PHP-скрипты.

Например, каталог upload можно проверить командой: find /upload/ -type f -name ‘*.ph*’

Она покажет все PHP-файлы в каталоге upload.

После анализа заражённые файлы можно удалить вручную или командой: find /upload/ -name ‘*.php*’ -exec rm ‘<>‘ ;

Найти файлы и папки с нестандартными именами

Откройте каталог сайта. Найдите файлы и папки с нестандартными именами и подозрительным содержимым, удалите их.

Тут нужно понимать, что значит нестандартные имена. Если вы уверены, что директория или файл были созданы не вами, а название уж очень не похоже на то, что могла сделать CMS или плагин, то можно удалить. Но лучше сделать копию файлов, удалить, проверить, что на сайте ничего не сломалось. Стоит проверить бекапы за пару дней до заражения, если это зловред, то в вашем бэкапе таких файлов или директорий не будет.

Ростислав Воробьёв

Найти много PHP или HTML-файлов в одной директории

Все папки на хостинге нужно проверить на множественные php и html файлы в одной директории, сделать это можно командой:

find ./ -mindepth 2 -type f -name ‘*.php’ | cut -d/ -f2 | sort | uniq -c | sort –nr

После выполнения команды на экране отобразится список каталогов и количество PHP-файлов в каждом из них. Если в каком-то каталоге будет подозрительно много файлов, проверьте их.

Читать еще:  Что Такое Умные Часы? — 7 Функций и ТОП-15 Моделей

Найти вирусные скрипты по содержимому

Быстро проверить сайт на вирусные скрипты можно командой:

find ./ -type f -name «*.php» -exec grep -i -H «wso shell|Backdoor|Shell|base64_decode|str_rot13|gzuncompress|gzinflate|strrev|killall|navigator.userAgent.match|mysql_safe|UdpFlood|40,101,115,110,98,114,105,110|msg=@gzinflate|sql2_safe|NlOThmMjgyODM0NjkyODdiYT|6POkiojiO7iY3ns1rn8|var vst = String.fromCharCode|c999sh|request12.php|auth_pass|shell_exec|FilesMan|passthru|system|passwd|mkdir|chmod|mkdir|md5=|e2aa4e|file_get_contents|eval|stripslashes|fsockopen|pfsockopen|base64_files» <> ;

Либо можно использовать grep без find.

grep -R -i -H -E «wso shell|Backdoor|Shell|base64_decode|str_rot13|gzuncompress|gzinflate|strrev|killall|navigator.userAgent.match|mysql_safe|UdpFlood|40,101,115,110,98,114,105,110|msg=@gzinflate|sql2_safe|NlOThmMjgyODM0NjkyODdiYT|6POkiojiO7iY3ns1rn8|var vst = String.fromCharCode|c999sh|request12.php|auth_pass|shell_exec|FilesMan|passthru|system|passwd|mkdir|chmod|md5=|e2aa4e|file_get_contents|eval|stripslashes|fsockopen|pfsockopen|base64_files» ./

Эти команды выполнят поиск вредоносного кода в файлах текущего каталога. Они ищут файлы рекурсивно, от того каталога, в котором запущены.

Совпадений будет много, большинство найденных файлов не будут зловредами, так как модули CMS тоже используют эти функции.

В любом случае, проанализируйте найденные PHP-скрипты на возможные вредоносные вставки. Перед удалением файла обязательно посмотрите его содержимое.

Проверить базу данных

Часто во время взлома и заражения сайта вредоносный код добавляют в базу данных. Для быстрой проверки базы данных на вирусы нужно зайти в phpmyadmin и через поиск ввести по очереди запросы

Каким образом действует вредоносный сайт

Можно выделить два основных типа вредоносных сайтов. Первым требуется взаимодействие с пользователем для осуществления заражения, вторым же не нужно никаких действий пользователя. При посещении злонамеренного сайта можно заразиться несколькими способами, например, нажать на рекламный баннер, загрузив себе на компьютер вредоносную программу. Если сайт фишинговый, он может похитить ваши учетные данные, маскируясь под онлайн-банкинг или что-то подобное. Также для заражения порой достаточно просто нажать на ссылку, перейти на сайт и… всё, больше никаких действий не потребуется, все остальное сделает сервер злоумышленника.

Рисунок 1. Предупреждение браузера о подозрительном сайте

В случае загрузки вредоносного файла механизм прост: вы заразите свой компьютер, как только запустите такой файл (это не обязательно должен быть exe-файл, это вполне может быть изображение или PDF). Если же мы говорим о вредоносной рекламе, тут все немного сложнее — часто такая реклама, изначально являясь безобидной, располагается на вполне легитимных и заслуживающих доверия сайтах, только затем оснащаясь вредоносной составляющей, заражающей посетителей этого легитимного сайта.

В некоторых случаях для заражения необходимо нажать на такое рекламное объявление, при этом вы будете перенаправлены на злонамеренный веб-сайт. В других случаях от вас не потребуется даже этого, заражение произойдет автоматически, в фоновом режиме.

Что делать, если сайт заражен

Есть несколько вариантов, как обезопасить сайт от заражения.

  1. Ликвидировать вредоносный код

Для того чтобы найти вредоносный код, используют специальные программы. Но не рекомендуем удалять код самостоятельно, так как можно случайно стереть нужные файлы. Для этой работы пригласите специалиста, которому необходимо обеспечить доступ к серверным файлам. Доступ может дать компания, предоставляющая хостинг.

Не забудьте сделать резервную копию сайта. Такая предосторожность выручит, если программист допустит ошибку. После того как он закончит свою работу, еще раз скопируйте ресурс. Не зараженный вирусом вариант всегда пригодится, если сайт еще раз подвергнется атаке.

После того как вредоносный код будет удален, установите обновления системы управления сайтом. В противном случае мошенники через некоторое время снова смогут разместить на сайте вирус. Также необходимо обновить все компоненты, установленные дополнительно. Вы никогда не сможете точно определить, где в CMS находится уязвимое место, через которое на сайт попадают опасные файлы.

Установить сканер вирусов

Существуют сканеры, которые помогают проверить сайт на вредоносный код онлайн. Их устанавливают на своём веб-ресурсе. Один из таких инструментов — virusdie.ru. Его задача — при обнаружении вредоносного кода оповестить об этом владельца сайта. Считается, что подобные виртуальные инструменты могут не только находить вирус, но и удалять его. Однако пока что данная функция не зарекомендовала себя.

Вывести сайт из баз вредоносного кода

Если поисковая система посчитала ваш ресурс вредоносным и отправила его в список зараженных сайтов, напишите в техподдержку о том, что вы уже ликвидировали проблему. Так сайт быстрее исключат из базы. Последствия могут быть особенно неприятными, если поисковики и браузеры запрещают веб-ресурс к показу в выдаче.

Как злоумышленники могут атаковать меня при помощи вредоносных программ? Anchor link

Лучшая защита от атаки вредоносными программами – профилактика против заражения. Эта задача может оказаться непростой, если злоумышленник использует уязвимости нулевого дня, то есть, неизвестные разработчикам. Представьте, что ваш компьютер – крепость. Уязвимость нулевого дня – потайной чёрный ход, о котором разнюхал злоумышленник. К сожалению, вы об этой лазейке даже не подозреваете, поэтому не можете принять защитные меры. Правительства и правоохранительные органы собирают информацию об уязвимостях нулевого дня, чтобы использовать их в направленных атаках при помощи вредоносных программ. Преступники и другие субъекты также могут получить доступ к уязвимостям нулевого дня и с их помощью скрытно установить вредоносные программы на ваш компьютер. Впрочем, поиск уязвимостей нулевого дня – дело дорогое, а повторно использовать их ещё труднее (использование вами тайного хода в крепость увеличивает шансы его обнаружения другими). Поэтому обычно злоумышленник обманом подталкивает вас собственноручно установить вредоносную программу.

Существует множество способов такого обмана. Вредоносный код может «прятаться» за ссылкой на веб-сайт, документ, PDF-файл или даже программу для обеспечения безопасности компьютера. Для атаки могут использовать электронную почту (письмо будет выглядеть как отправленное от известного вам человека), сообщение в Skype или Twitter, ссылку, опубликованную на вашей странице в Facebook. Чем точнее направлена атака, тем упорнее злоумышленники в своих попытках заставить вас скачать и установить вредоносный код.

Например, ливанские хакеры организовали атаку с помощью вредоносного ПО, интегрированного в виде трояна в приложение для безопасного обмена сообщениями Signal и WhatsApp. Эфиопские диссиденты, студенты и защитники прав человека стали целью шпионящего вредоносного ПО, замаскированного под обновления Adobe Flash и PDF документы по политической тематике. А тибетские активисты были атакованы с помощью вредоносного ПО, спрятанного в PDF файле, выглядящем так, будто его отправил другой тибетский активист.

Проверка сайта на вредоносный код

Следует помнить, что эти коварные конструкции могут появиться не только в активной теме, но и в любом файле ресурса. Существует несколько способов их поиска:

  • Вручную. Для этого нужно сравнить содержимое всех актуальных файлов с незараженными версиями бэкапа. Все что отличается необходимо удалить.
  • С помощью плагинов безопасности. В частности WordPress предлагает плагин Wordfence Security. У него есть опция сканирования файлов страницы на содержание постороннего кода.
  • С помощью саппорта хостинга. Владелец сайта имеет право обратиться к ним с просьбой просканировать ресурс своим антивирусом. В результате они предоставят отчет, отражающий наличие зараженных файлов. Эти файлы можно очистить от посторонних конструкций с помощью обычного текстового редактора.
  • Через SSH-доступ к сайту. Сам поиск осуществляется с помощью команд:

find /текущий каталог страницы -type f -iname «*» -exek -‘eval’ <> ; > ./eval.log

find /текущий каталог страницы -type f -iname «*» -exek-‘base64’ <> ; > ./base64.log

find /текущий каталог страницы -type f -iname «*» -exek -‘file_get_contents’ <> ; > ./file_get_contents.log

В результате их выполнения будет получена информация о подозрительных файлах. Перечень этих файлов запишется в лог, хранящийся в текущей директории.

  • Проверка сайта на вредоносный код с помощью функции eval. Эта php-функция запускает на выполнение любой, даже зашифрованный код. В качестве одного из аргументов, на вход этой функции подается тип кодировки (как правило это base64_decode или str_rot13). Именно благодаря использованию популярных кодировок вредоносный код выглядит как бессмысленный набор латинских символов.
Читать еще:  Critical process died

— Открываете редактор страницы.

— Копируете в буфер содержимое файла functions.php.

— Вставляете его в любой текстовый редактор (блокнот).

— Находите команду eval.

  • Перед тем, как удалить вредоносный код, проанализируйте, какие параметры функция ожидает на вход. Т.к. параметры поступают в зашифрованном виде, их нужно расшифровать с помощью декодеков. Распознав входной параметр, вы можете принять решение о его дальнейшем нахождении в тексте файла functions.php.

Веб-сервисы для проверки сайтов на вирусы

Рано или поздно веб-разработчик, веб-мастер или любой другой специалист, обслуживающий сайт, может столкнуться с проблемами безопасности: ресурс попадает под санкции поисковой системы или начинает блокироваться антивирусом, с хостинга могут прислать уведомление об обнаружении вредоносного кода, а посетители начинают жаловаться на всплывающую рекламу или редиректы на “левые” сайты.

В этот момент возникает задача поиска источника проблемы, то есть диагностики сайта на проблемы безопасности. При грамотном подходе диагностика состоит из двух этапов:

  1. проверки файлов и базы данных на хостинге на наличие серверных вредоносных скриптов и инжектов,
  2. проверки страниц сайта на вирусный код, скрытые редиректы и другие проблемы, которые, порой, невозможно выявить статическим сканером файлов.

Предположим, вы уже проверили файлы на хостинге специализированными сканерами и почистили аккаунт хостинга от «вредоносов» (или ничего подозрительного на нем не нашлось), но поисковик все равно ругается на вирусный код или на сайте по-прежнему активен мобильный редирект. Что делать в этом случае? На помощь приходят веб-сканеры, которые выполняют динамический и статический анализ страниц сайта на вредоносный код.

Немного теории

Статический анализ страниц – это поиск вредоносных вставок (преимущественно javascript), спам-ссылок и спам-контента, фишинговых страниц и других статических элементов на проверяемой странице и в подключаемых файлах. Обнаружение подобных фрагментов выполняется на основе базы сигнатур или некоторого набора регулярных выражений. Если вредоносный код постоянно присутствует на странице или в загружаемых файлах, а также известен веб-сканеру (то есть он добавлен в базу сигнатур), то веб-сканер его обнаружит. Но так бывает не всегда. Например, вредоносный код может загружаться с другого ресурса или выполнять какие-то несанкционированные действия при определенных условиях:

  • по завершении загрузки страницы в нее добавляется javascript, который выполняет drive-by download атаку
  • пользователь уходит со страницы, в этот момент подгружается код и открывает popunder с контентом “для взрослых”
  • посетитель сайта находится на странице несколько секунд и только после этого его перенаправляют на платную подписку за смс
  • и т.п.

Несколько таких примеров:

Если заранее неизвестно, какой код провоцирует данные несанкционированные действия, то обнаружить его статическим анализом чрезвычайно сложно. К счастью, есть анализ динамический или иногда его еще называют “поведенческим”. Если веб-сканер умный, он будет не просто анализировать исходный код страницы или файлов, но еще и пытаться совершать какие-то операции, эмулируя действия реального посетителя. После каждого действия или при определенных условиях робот сканера анализирует изменения и накапливает данные для итогового отчета: загружает страницу в нескольких браузерах (причем, не просто с разных User-Agent’ов, а с разными значениями объекта navigator в javascript, разными document.referer и т.п.), ускоряет внутренний таймер, отлавливает редиректы на внешние ресурсы, отслеживает то, что передается в eval(), document.write() и т.п. Продвинутый веб-сканер всегда будет проверять код страницы и объекты на ней как до начала выполнения всех скриптов (сразу после загрузки страницы), так и спустя некоторое время, поскольку современные “вредоносы” динамически добавляют или скрывают объекты на javascript, а также выполняют фоновые загрузки внутри динамических фреймов. Например, код зараженного виджета может через 3 секунды или по движению мыши загрузить скрипт, который вставит на страницу javascript с редиректом на загрузку опасного .apk файла. Естественно, никакой статический анализ (кроме как заранее знать, что виджет опасен) или поиск по файлам такое не выявит.

А теперь, с пониманием требований к диагностике сайта и веб-сканерам, попробуем найти те, которые действительно эффективны. К сожалению, то что представлено на первой странице поисковика по запросу “проверить сайт на вирусы онлайн” сразу никуда не годится. Это или “поделки”, которые в лучшем случае могут выполнить статический анализ страницы (например, найти IFRAME, который может быть и не опасен), или агрегаторы сторонних API, проверяющие URL сайта по базе Google Safe Browsing API, Yandex Safe Browing API или VirusTotal API.

Если проверять сайт десктопным антивирусом, то анализ будет скорее всего также статический: антивирус умело блокирует загрузки с известных ему зараженных сайтов, но какого-то глубокого динамического анализа страниц сайта от него не стоит ожидать (хотя некоторые антивирусы действительно обнаруживают сигнатуры в файлах и на странице).

В итоге, после проверки двух десятков известных сервисов, я бы хотел остановиться на представленных ниже.

Веб-сканер QUTTERA

Выполняет поиск вредоносного кода на страницах, используя бессигнатурный анализ. То есть обладает некой эвристикой и выполняет динамический анализ страниц, что позволяет обнаруживать 0-day угрозы. Из приятных особенностей стоит отметить возможность проверки сразу нескольких страниц сайта, поскольку проверять по одной не всегда эффективно.
Хорошо обнаруживает угрозы, связанные с загрузкой или размерещением троянов, завирусованных исполняемых файлов. Ориентирован на западные сайты с их характерными заражениями, но часто выручает и при проверке зараженных сайтов рунета. Поскольку сервис бесплатный, есть очередь на обработку задач, поэтому придется немного подождать.

Веб-сканер ReScan.pro

Выполняет динамический и статический анализ сайта. Поведенческим анализом детектятся скрытые редиректы, статический анализ ищет вирусные фрагменты на страницах и в загружаемых файлах, а базой черного списка определяются ресурсы, загружаемые с зараженных доменов. Ходит по внутренним ссылкам, поэтому кроме основного URL проверяет еще несколько смежных страниц сайта. Приятным дополнением является проверка сайта по блек-листам Яндекс, Google и VirusTotal. Ориентирован в основном на вредоносы, которые обитают в рунете. Поскольку сервис бесплатный, лимит на проверку – 3 запроса с одного IP в сутки.

Веб-сканер Sucuri

Ищет вирусный код по сигнатурам и с помощью эвристики. Отправляет запросы к нескольким URL на сайте с различными User Agent / Referer. Обнаруживает спам-ссылки, дорвей-страницы, опасные скрипты. Кроме того, умеет проверять актуальные версии CMS и веб-сервера. Ограничений на число проверок не замечено. Из небольшого минуса обнаружилось, что список проверенных сайтов с результатами индексируется поисковыми системами, то есть можно посмотреть, какой сайт и чем был заражен (сейчас в поисковом индексе около 90 000 страниц), тем не менее эффективности сканера это не умаляет.

Redleg’s File Viewer

Еще один западный веб-сканер сайтов. Может немного отпугивать своим аскетичным интерфейсом из 90-х, но, тем не менее, он позволяет выполнить полноценный статический анализ сайта и подключенных на странице файлов. При сканировании пользователь может задать параметры User Agent, referer, параметры проверки страницы. В настройках есть проверка страницы из кэша Google. Лимитов на проверку сайтов не обнаружено.

VirusTotal

Ну и, наконец, знакомый многим VirusTotal. Он не является в полной мере веб-сканером, но его также рекомендуется использовать для диагностики, так как он является агрегатором нескольких десятков антивирусов и антивирусных сервисов.

Упомянутые веб-сканеры можно добавить в закладки, чтобы при необходимости провести диагностику сразу эффективными инструментами, и не тратить время на платные или неэффективные сервисы.

Ссылка на основную публикацию
Статьи c упоминанием слов:
Adblock
detector