Сканирование сайта на вредоносный код


Сканирование

Вступление

При помощи модуля “Сканирование” Вы можете проверить Ваш сайт на наличие вредоносного кода. Модуль создан на основе сканера Ai-Bolit компании Revisium.

 

Сканер AI-Bolit является эффективным инструментом веб-мастеров и администраторов сайтов для поиска вирусов, уязвимостей и вредоносного кода.

 

Примечание: проверка не влияет на работоспособность сайта или панели управления и Вы сможете продолжить работу с панелью во время работы сканера. 

 

По завершению будет составлен отчет. Ознакомиться с ним Вы сможете в таблице ниже.

 

Сканер лишь указывает на найденные уязвимости и файлы, содержащие вредоносный код. Удаление вредоносного кода сканером не производится. Запуск сканирования может производиться как вручную, так и по расписанию.

 

 

Сканирование сайта на наличие вирусов

Для запуска сканирования перейдите в карточку нужного сайта и войдите в меню “Сканирование”.

 

Для запуска сканирования вручную следует нажать кнопку “Запуск” и в открывшемся окне выбрать нужные параметры:

Модуль сканирования поддерживает три режима работы:

  • Экспресс – проверка js, php, html и .htaccess файлов
  • Обычный – проверяются все файлы в директории сайта на наличие вредоносного кода.
  • Параноидальный – производится сканирование всех файлов на наличие потенциальных уязвимостей

 

В настройках также можно исключать определенные типы файлов, установить максимальный размер файлов для сканирования, а также установить максимальный лимит памяти, который будет задействован скриптом при сканировании.

 

 

Настройка расписания

В FASTPANEL® можно настроить запуск сканирования по расписанию. Для этого, находясь в разделе “Сканирование” нажмите кнопку “Настройки”.

 

В открывшемся окне можно настроить график сканирования: ежедневно, еженедельно, ежемесячно или ежегодно. Можно также задать свой график запуска сканирования, нажав на “Настроить”.

Модуль сканирования также позволяет отправлять результаты сканирования на электронную почту. Чтобы активировать такую возможность – введите свой адрес электронной почты в строке “Почта”.

 

По завершении сканирования на почту будет отправлено письмо со ссылкой на отчет:

fastpanel.direct

Почему сканеры вредоносного кода детектируют не все вирусы на сайте

Сканирование сайта автоматизированными средствами, например, такими как AI-BOLIT – необходимая, но недостаточная мера для выявления проблем безопасности. Возможно, кого-то это удивит, но специализированные сканеры, какие бы хорошие они ни были, не могут найти 100% вредоносного кода на сайте. Дело в том, что часть вирусных вставок или хакерских скриптов можно обнаружить только в результате ручного анализа.

Это происходит по нескольким причинам:

  1. Антивирусные базы любых сканеров вредоносного кода обновляются позже, чем «выходят» сами вирусы. Для того, чтобы вредоносный код занести в антивирусную базу, сначала его нужно обнаружить на проблемном сайте, распознать, что именно этот код является вредоносным и нарушает нормальное функционирование сайта, после чего добавить в базу вирусных сигнатур. Вирусы «штампуются» каждый день, но обновление базы данных антивирусов происходит реже (и позже). То есть какой-то промежуток времени знанием о новом вирусе – о том, как он «выглядит» и где чаще всего «прячется» - располагают только практикующие специалисты по информационной безопасности, ежедневно занимающиеся лечением зараженных сайтов или анализирующие ”ханипоты” – ловушки для хакеров и вирусного кода. Соответственно, обнаружить фрагменты нового вредоносного кода можно только вручную.
  2. Сканеры вредоносного кода проверяют файлы на хостинге или страницы сайта, но они не проверяют базу данных. В нашей практике довольно много случаев, когда вредоноса размещали именно в базе. Качественно проверить базу данных можно только вручную, так как сканирование дампа не всегда дает желаемый результат.
  3. Часто при открытии сайта вредоносные вставки, java-скрипты подгружаются со сторонних серверов. При этом сканер проверяет только файлы, размещенные на вашем хостинге. Получается, что посетитель сайта может видеть вредоносную рекламу и жаловаться на ваш веб-проект, в то время как сканер не обнаруживает никакой проблемы. В этом случае лишь воспроизведение сценария и «ручная» работа специалиста по информационной безопасности смогут избавить ваш сайт от недобросовестного баннера, рекламирующего сторонний продукт или услугу. 

Вывод: cканер вредоносного кода – простой и удобный инструмент обнаружения проблем, действительно, незаменимый, но, как вы видите, недостаточный. Именно поэтому при сканировании и диагностике сайта мы проверяем сайты комплексно: не только автоматизированными средствами, но и закладываем время специалистов на проверку сайта вручную.

Обсуждаем и комментируем

revisium.com

Работа со сканером (поиск вредоносных файлов)

Работа со сканером (поиск вредоносных файлов)

Сканер предназначен для поиска вредоносного кода и файлов, таких как webshell, спамеры и т.д. по базе сигнатур известных нам кодов. Сканер не гарантирует нахождение вируса, а найденный вредоносный файл не обязательно является вирусом. Каждый результат необходимо анализировать и проверять.

host_antivirus.jpg

Вы можете выбрать путь для проверки файлов, либо проверить весь хостинг аккаунт, для этого необходимо указать путь — корень аккаунта (/home/логин от хостинга).Далее укажите ссылку на базы сигнатур. Советуем использовать регулярно обновляемую базу, для этого нажмите на кнопку обновляемый URL.Ниже указываются форматы файлов для исключения — которые не будут проверяться сканером. Если у вас торрент сайт, то также необходимо добавить формат torrent.Устанавливая галочку сохранить результаты сканирования, вы сохраните результат в файл, который будет создан в корне хостинг-аккаунта. Используется в том случае, если у вас на хостинге много файлов (от 100 000 файлов).

Результат сканирования

После проверки аккаунта сканером, мы можем увидеть неприятный результат (на скрине приведен пример).

Важно

В первую очередь необходимо обращать внимание на категории сканера Критические файлы и большие закодированные файлы. Во всех остальных категориях указаны файлы с функциями, которые часто используют вредоносные файлы.

antivirus1.jpg

В закрашенном на примере поле указан путь к файлу, в котором был обнаружен код из базы вредоносных сигнатур.

В примере показано несколько файлов, но по факту найдено только две сигнатуры:1 - PCT4BA6ODSE2 - wUu2jGoB;0i_SN\tn%Vg)ZI^sTRyvL

Рассмотрим первый вариант.Откройте WebFTP в новом окне, и в поле путь пропишите путь одного из найденных файлов /home/LOGIN/папки/xd_receiver_ssl.php Нажмите на файл — открывается файл в текстовом режиме. Сначала визуально ничего подозрительного не видно.

antivirus2.jpg

Но если немного промотать скролингом вбок, как сразу увидим вредоносный код:

antivirus3.jpg

Удалите вредоносный код и сохраните файл.

Этот пример говорит о том, что вредоносный код был внедрен в нормальный файл от CMS. Этот код нужно удалить из файла, при этом сам файл оставить, либо просто заменить его на исходный.

Необходимо внимательно проверять любой результат сканирования и сверять файлы с исходными, которые от разработчика.

Переходим к варианту номер два:Через WebFTP откройте файл/home/LOGIN/папки/diff.php:

antivirus4.jpg

Мы сразу видим закодированный код. Кода от CMS нет. С вероятностью в 98% этот файл является вредоносным и необходимо удалить весь этот файл. Вполне возможно, именно таким файлом и были заражены остальные.

Таким же образом мы проверяем каждый файл указанный сканером.

Откуда берутся вредоносные файлы?

Как правило, владельцы сайтов не задумываются о безопасности своих сайтов и даже не подозревают, что их сайты могут использоваться как инструмент для заражения вирусами, совершения атак на другие сайты или прочих злых намерений.В большинстве случаев сайты взламывают через уязвимости в их скриптах.

Как защититься от взломов сайтов?

Если система управления сайта (движок, скрипт) была написана самостоятельно — нужно искать уязвимости и устранять их, в случае же готовых решений cms (wordpress, joomla, dle, drupal и т.д.), необходимо использовать только последнюю, оригинальную и официальную версию скрипта cms от разработчиков.

Внимание!

Не используйте nulled (раскодированные/взломанные) версии cms. Не устанавливайте дополнения, плагины, модули, хаки, темы и прочие добавления от сомнительных, не официальных источников — недобросовестные разработчики дополнений могут внедрять код в свою разработку, позволяющий получать доступ ко всем файлам сайта, что может обернуться большими проблемами для вас.

Важно

Необходимо регулярно обновлять версию cms и всех установленных дополнений, плагинов, расширений до последних версий, так как именно в последних версиях разработчики закрывают многие уязвимости в своём продукте.

Обратите внимание, если вы будете удалять данные файлы или вредоносные коды в них без расследования причин их появления, через некоторое время они снова появяться. Обязательно нужно проверить используемые CMS и/или плагины на наличие обновлений, либо самостоятельно устранить уязвимости в скриптах.

webhost1.ru