Вирусы на сайте

Наверно многие владельцы сайтов сталкивались с такой неприятностью как вирусы на сайте. Особенно это касается популярных бесплатных систем управления (cms), таких как joomla, wordpress, drupal и т.д., их “ломают” особенно часто. Это очень неприятной явление и может нанести серьезный вред. В силу своей специфики, многие владельцы сайтов просто не знают что с этим делать и даже не подозревают о такой проблеме, пока не столкнуться с ней. 
Данную статью стоит воспринимать в первую очередь как поверхностью аналитику проблемы, с краткими пояснениями и рекомендациями. Здесь не будут рассматриваться конкретные примеры уязвимостей, методов взлома cms и вредоносных файлов. Анализируются типичные случаи, имеющие массовый характер. Статья основана исключительно  на собственном опыте, надеюсь для некоторых она может стать полезной.

Часть первая. Цели взлома, виды вирусов на сайтах 

Для того, что бы бороться с вирусами на сайте, нужно хотя бы примерно понимать цели, которые преследуют взломщики. Цели могут быть самые разные, вплоть до “от нечего делать”, но это редко и на уровне школы. В основном взлом сайта производится исходя из следующих соображений:
  1. Размещение фишинга - фишингом называют страницы, которые имитируют оригинальный сайт с целью получения данных пользователей (логины, пароли, данные банковских карт, личные данные). Чаще всего жертвами фишинга становятся банки, социальные сети, почтовые службы (gmail.com, yandex.ru, mail.ru) и т.д. После размещения фишинга производится рассылка спама со ссылкой на фишинговую страницу, где люди по незнанию оставляют свои данные. 
  2. Рассылка спама - загружают на ваш сайт скрипт, с помощью которого рассылают спам.
  3. Распространение вирусов - на сайт загружают файлы или архивы с вредоносным ПО, обычно для ОС windows. Далее рассылают спам и доверчивые пользователи скачивают вирус с вашего сайта и устанавливают на свой ПК.
  4. Реклама через редирект - есть такой вид рекламы спамом. Что бы не ставить прямой адрес на свой сайт в спам рассылке, заливают на взломанные сайты файлы и ставят ссылки на них. Эти файлы в свою очередь производят редирект на рекламируемый сайт. Таким образом в письме ссылка ведет на ваш сайт, а попадают посетители на сайт “рекламодателя”. Обычно такой метод используют различные торговцы препаратами для похудения, увеличения потенции и сайты adult тематики.
  5. Размещение рекламы - это обычные html файлы, которые загружаются на сайт и рекламируются при помощи спама. Этот метод также популярен у торговцев препаратами для похудения, увеличения потенции и порнушников.
  6. Вредоносная активность - размещение различных ботов для спама в комментариях, спама на форумах, брутфорса (подбор пароля путем перебора) и DDOS атак.

Как видите причин у злоумышленников взламывать сайты более чем достаточно и все это может приносить им неплохую прибыль. Некоторые могут сказать ну и что, мне какая разница. Пусть размещают у меня фишинг, левую рекламу или ботов, сайт то работает. Разницы нет, пока вы не столкнетесь с превышением нагрузки из-за активности вирусов, блокировкой почты из-за рассылки спама, блокировкой сайта браузером или хостером из-за фишинга или вредоносного ПО. А это уже неприятно и в некоторых случаях больно для кармана. Представьте, у вас интернет магазин и перестали приходить заказы, потому что почта не работает или сайт заблокирован вовсе.

Часть вторая. Как происходит заражение.

Для заражения сайта используется три основные пути:
  1. Взлом по FTP - делается это при помощи брутфорса (подбор данных для доступа путем перебора) либо воровством этих данных, например с помощью вируса на ПК. Естественно, имея полный доступ к файловой системе можно разместить все что угодно и где угодно. 
    Решение - определить такой вид взлома очень просто. Смотрите логи FTP, если видите активность со сторонних IP адресов, значит кто то кроме вас имеет доступ. Меняете пароли, устанавливаете ограничение доступа по IP адресу (если такая возможность есть) и проблема в целом решена. Также не лишней будет проверка ПК на вирусы.
  2. Взлом с использованием уязвимости - наиболее распространенный тип взлома. Практически любая cms имеет уязвимости, которыми пользуются злоумышленники для взлома. Больше всех страдают владельцы популярных CMS, таких как Joomla, Wordpress, Drupal и др. Особенно большую проблему составляют различные расширения для сайту (компоненты, модули, плагины, темы). Если разработчики тех же joomla или wordpress стараются следить за безопасностью и постоянно выпускают обновления и патчи. То многие разработчики расширений с радостью продают “дырявые” модули и при этом даже не собираются что либо исправлять. Собственно говоря львиная доля взломов происходит именно благодаря таким разработчикам. 
    Решение - простая очистка сайта от вирусов даст кратковременный эффект. Не закрыв уязвимости, вирусы будут появляться постоянно. В этой ситуации рекомендуется в первую очередь произвести обновление cms и расширений (модули, плагины, компоненты, темы). Также рекомендуется удалить (именно удалить, а не просто выключить в админке) все неиспользуемые расширения на сайте. Если у вас установлены плагины, модули или компоненты, которые вы по факту не используете, лучше от них избавится. Также стоит почитать о безопасности используемых вами расширений, возможно вы являетесь счастливым обладателем “дырявого” модуля. Рекомендуем пользоваться услугами только надежных разработчиков. Все эти процедуры конечно не дают 100% гарантии решения проблемы и если это вам не помогло, остается только поискать умного человека, который поможет вам решить проблемы за определенное вознаграждение.
  3. Установка уже зараженных расширений - такой способ заражения тоже не редкость. Человек по незнанию скачивает с первого попавшегося сайта модуль, компонент, плагин или тему, устанавливает и сайт уже заражен.
    Решение - в этом случае хочется дать рекомендации. Скачивайте расширения с официальных сайтов, а не из сторонних ненадежных источников. Я не говорю, что на неофициальных сайтах специально распространяют зараженные компоненты, нет. Они просто могут сами об этом не знать и не имеют возможности это проверить. Не хотите платить разработчикам, тогда имейте ввиду, что устанавливая компонент из ненадежного источника, вы рискуете потерять больше, чем стоит этот компонент у разработчика. 

Часть третья. Как найти на сайте вирус?

Этот момент вызывает наверное самое большое количество вопросов. Действительно, как найти вредоносный файл, среди 100500 других файлов и как собственно определить, что он вредоносный? Для человека слабо понимающего в программировании и разработке сайтов это действительно может вызвать сложности. Методы есть и они не очень сложные. Постараюсь доступно описать методы поиска вирусов.

Антивирусная проверка - это безусловно первый шаг, который стоит сделать. Но не рассчитывайте на то, что антивирус решит все проблемы и найдет всю гадость на сайте. Пока еще ни один антивирус не дает 100% гарантии обнаружения вирусов. Но такая проверка поможет вам найти хотя бы часть вирусов. Также нужно понимать, что фишинг, файлы с рекламой или файлы для редиректа не являются вредоносными и антивирус на них не будет реагировать. 
Сделать антивирусную проверку следующими спеособами:
  • Средствами хостинга, если у хостера конечно есть такая услуга. Большинство хостеров используют как минимум бсплатное антивирусное ПО.
  • Просканировать антивирусом на ПК. Такая проверка вам врядли поможет, все таки эти антивирусы создавались для защиты windows, а не для сканирования сайтов.
  • Воспользоваться сторонними специализированными сервисами. Что касается сторонних сервисов, то их можно разделить на 2 категории. Те которые не требуют загрузки файлов антивируса на FTP и те, которые этого требуют. Первые не смогут нормально проверить ваш сайт, поскольку физически не имеют доступа к файлам. Они могут только исследовать исходный код сайта, не более. Это тоже полезно, поможет выявить скрытые ссылки и вредоносный JavaScript. Вторые имеют намного больше возможностей для проверки, поскольку имеют полный доступ ко всей файловой структуре сайта. Я не привожу здесь ссылки на подобные сервисы, поскольку ни одним из них не пользовался. Вы с легкостью можете самостоятельно найти информацию о них в любой поисковой системе по запросу “проверка сайта на вирусы”.
Логи сервера - особенный интерес представляют POST запросы. Анализ POST запросов очень эффективен и позволяет выявить такие проблемы как php shell, скрипты для рассылки спама и фишинг. Достаточно бегло просмотреть лог, что бы выявить в них подозрительные. Далее проверяете по http (просто вводите адрес в браузере) адрес и/или файл, к которым были такие запросы.

Ручной поиск - да, да, руками тоже иногда приходится работать. Дело в том, что выше указанные способы не гарантируют, что будут обнаружены все вредоносные и сторонние файлы. Проводить ручной поиск можно опираясь на два основных момента. Это имя и дата модификации файла. Взломщики не сильно оригинальные люди и зачастую называют файлы не читаемыми названиями. Например имя файла FrjkuSdrm.php явно вызывает подозрение. Дата модификации сторонних файлов в 99% случае будет отличатся и она будет более поздней. Также во многих случаях дата модификации всех сторонних файлов будет совпадать. Если сайт давно работает и изменения не вносятся, то найти файл и каталог с отличающейся датой модификации не составит большого труда. Достаточно бегло пройтись по файловой структуре. Для сайтов типа joomla или wordpress такой анализ займет минут 15 - 20. Естественно для проведения такого анализа необходим хотя бы минимальный уровень знаний.

Как определить вредоносный файл - во-первых, необходимо просмотреть код этого файла. Часто взломщики кодируют содержимое файла, делая его не читаемым. Во-вторых необходимо обратиться к этому файлу по http, то есть открыть его в браузере. Помимо этого следует иметь ввиду, что файл может быть не полностью вредоносным, а системным, но со вставкой вредоносного кода. Такие файлы естественно удалять нельзя, его необходимо очистить. Такой код обычно вставляется в самой верхней или самой нижней части файла.

Ну вот в целом и все, что я хотел вам донести в этой статье. Конечно это далеко не все по это теме и можно еще много чего рассказать, в частности углубится в некоторые детали. Но статья и так получилась очень объемная. Надеюсь она будет полезной. Напоследок хочется сказать, что лучшая защита от взлома это надежные пароли и отсутствие уязвимостей.
 
Комментарии (0)

Нет комментариев. Ваш будет первым!

Добавить комментарий
© 2012-2017 Hostgid.net. Все права защищены.