Как проверить сайт на вирусы

В текущих реалиях интернета довольно частой и большой проблемой является заражение сайтов вирусами. Это происходит, чаще всего, в очень популярных системах и плагинах, так как из-за огромного спроса на их использование в них более тщательно выискивают уязвимости. Даже на данный момент существует масса не закрытых брешей в безопасности у популярных CMS, например, WordPress или OpenCart, а также Joomla!. Используя уязвимости на сайт могут быть загружены вирусы, которые в свою очередь записывают важную информацию и передают ее третьим лицам. Поведение вирусов на сайте может никак не отображаться и заметить их наличие часто бывает довольно сложной задачей, из-за чего для сайтов следует использовать антивирусные утилиты, которые могут помочь в нахождении уже найденных вирусов.

Как работают антивирусные программы

Антивирусные утилиты работают по принципу сравнения проверяемого кода файлов с существующими данными вирусов в его базе сигнатур. То есть антивирус может найти только ранее обнаруженные вирусы, из-за чего абсолютно новые, которые хорошо защищены и имеют совершенно новую, отличную от других структуру, могут быть попросту не найдены, но такие ситуации возникают довольно редко.

Принцип работы антивирусов, используемых для проверки сайтов, сильно отличается от привычных нам утилит, так как они, чаще всего, только производят проверку файлов и указывают на участки кода, которые больше всего походят на вирусные сигнатуры. Удаление производится исключительно в ручном режиме, так как это довольно опасный процесс, из-за которого можно нанести вред работе сайта или вовсе вывести его из строя, так как вирус может замещать важные участки кода программы.

Также следует обратить внимание на то, что стандартные антивирусные утилиты, применяемые для поиска вирусов на ПК или других устройствах, могут не обнаружить используемые на сайтах вирусы. Стоит понимать, что существует несколько типов антивирусных утилит, которые производят проверку сайта, в некотором понимании, с разных сторон. Определенные антивирусные системы проверяют исключительно файлы на сервере, из-за чего вредоносный код в javascript файлах попросту не будет найден. Также существуют определенные антивирусы, которые проводят проверку сайта, можно сказать, снаружи, проверяя все загружаемые ресурсы в рамках сайта. Такие антивирусы работают онлайн и в них достаточно только указать адрес сайта, но так как они не имеют доступа к файлам сайта, то проверяют только наличие вирусов в рамках javascript файлов или же других загружаемых на страницу, что не всегда поможет устранить проблему заражения.

Как правильно проверить сайт на вирусы

Если есть подозрение, что на сайте появились вирусы, то следует предпринять кардинальные меры для их удаления и поиска источника заражения. Важно помнить, что удаление вирусов — это лишь частичное решение, так как без нахождения источника заражения повторное появление вирусов – вопрос времени.

Полностью описать процедуру проверки заражения сайта и его очистки невозможно, так как любая проблема с вирусами крайне индивидуальна, в связи с чем можно использовать только примерный и общий алгоритм действий.

Для проверки сайта на наличие вредоносного кода, а также его последующей очистке, следует проводить комплекс проверок и действий:

1. Самой первой проверкой сайта должна быть проверка файлов на сервере. Такую возможность предоставляет наш встроенный антивирус, а также сторонние средства по типу AI-bolit. Самая частая проблема с вирусами возникает непосредственно в файлах, которые используются для работы системы сайта, так как такие файлы собирают очень много важной информации о посетителях, действиях и прочем.
2. Второстепенной проверкой должен выступать анализ загружаемых ресурсов сайта, с чем могут также помочь онлайн антивирусы. При переходе на сайт следует открыть инструменты разработчика и во вкладке Network проверить загружаемые ресурсы на наличие сторонних подключаемых скриптов или файлов. Такие файлы часто могут собирать доступную информацию о посетителях либо выполнять множественные переадресации на мошеннические сервисы.
3. Если вирусы были найдены, то следует проверить дату изменения зараженных файлов на сервере. Эта дата может приблизительно указать, когда последний раз редактировался зараженный файл. Исходя из этой информации можно приступать к последующим проверкам и поискам проблемы.
4. Стоит создать резервную копию сайта на случай, если что-то пойдет не так. При удалении вирусов вполне реальной проблемой может стать удаление важного и нужного кода, который был замещен самим вредоносным кодом. Имея резервную копию можно восстановить работоспособность сайта.
5. Имея примерную дату последнего редактирования файлов сайта нужно произвести анализ логов запросов к сайту. В таких логах стоит особое внимание обратить на POST запросы к файлам, которые не предназначены для доступа извне. На этом этапе следует также ограничить доступ к сайту по IP адресам, чтобы во время очистки не произошло повторное заражение. Исходя из полученной информации в ходе проверок можно сделать вывод: как и когда был заражен сайт.

Что поможет в проверке

Анализ возможных уязвимостей

В любой ситуации заражения сайта следует помнить, что вирус не появляется сам по себе и всегда есть способ его загрузки в файлы сайта. Для того, чтобы примерно понимать вероятные способы загрузки можно ознакомиться с публичными данными об уязвимостях популярных CMS.

К примеру наиболее распространенными ресурсами с такой информацией являются:

• WordPress Vulnerabilities — найденные уязвимости плагинов и тем WordPress.
• WordFence — найденные уязвимости CMS WordPress и связанных с ним продуктов.
• CVE — найденные уязвимости популярных CMS и связанных с ними продуктов.

Анализ вирусного кода

После нахождения вирусного файла следует проверить какой именно код был отмечен как вирусный. Чаще всего подобный код может быть обфусцирован, что значит зашифрован и\или не читаем. Обычно такое запутывание происходит при помощи шифрования кода, путем использования Base64 или других способов кодирования и декодирования участков кода. Если было найдено множество символов, которые никак не походят на код сайта, то следует попробовать декодировать этот участок.

Если в коде файла наблюдаются такие функции, как: eval, system, exec, base64_decode, urldecode и подобные им, то обязательно проверьте входящие данные в эту функцию. В случае с eval, system, exec

лучше всего временно заменить ее на вывод, к примеру, print или var_dump, чтобы понять какой именно код должен был быть использованным.

Лучше всего в этом могут помочь онлайн сервисы, например, base64.ru — онлайн декодер зашифрованного в Base64 текста.

Также рекомендуем ознакомиться со статьей относительно деобфускации кода — https://kaimi.io/2012/01/php-deobfuscate/.

Что не поможет в проверке

Использование онлайн сканеров

Онлайн сканеры выполняют одну полезную роль, они помогают найти опасные вирусные JS скрипты или другие элементы вируса в frontend’е сайта, то есть в том, что предоставляется пользователю при открытии сайта. Такие проверки могут помочь найти лишь последствия заражения, но никак не его причины, в следствие чего их использование крайне сомнительно для разрешения ситуации с вирусами.

Практически все вирусные элементы в frontend’е появляются по причине заражения backend’а, а после их удаления повторное появление будет лишь вопросом времени. В связи с чем данный метод стоит отложить на самый последний этап очистки. Воспользоваться подобными утилитами следует только после полноценной проверки всего backend’а сайта, когда будут удалены все вирусы которые создали подобные скрипты.

Восстановление резервной копии сайта

Восстановление резервных копий сайта поможет избавиться от вирусов, но при этом найти сами вирусы и источник заражения станет практически невозможно. Но стоит учитывать, что заражение уже происходило с такой версией сайта и если не будет выполнено никаких превентивных мер, то повторное появление вирусов обязательно случится.

Всегда следует создать копию сайта в текущем виде перед восстановлением, после чего скачать ее и проводить анализ кода на уже зараженной версии сайта.

Очистка от вирусов до нахождения источника заражения

Ситуация крайне схожа с восстановлением резервной копии, но помимо того, что вирусы будут удалены и их анализ будет затруднен появляется дополнительная проблема, которая заключается в не устранённом источнике заражения, а также в возможных дополнительных файлах вирусов, которые не были обнаружены антивирусом или в ходе ручного анализа.

Как очистить сайт от вирусов

Важно понимать, что все указанные действия являются лишь рекомендациями и их выполнение не может подходить для всех случаев заражений. Всегда стоит консультироваться с разработчиком сайта или привлекать сторонних специалистов для анализа проблем безопасности сайта и устранения заражения.

Не следует медлить с очисткой сайта от вирусов. Подобная ситуация сигнализирует о том, что данные сайта и данные клиентов могут находиться под угрозой, не говоря о компрометации их данных доступа. Немаловажным моментом является еще то, что сайт, при подобных промедлениях, может быть заблокирован поисковыми системами, системами безопасности в современных браузерах или антивирусами\вспомогательными плагинами.

Примерный алгоритм действий при нахождении вирусов на сайте:

1. Сайт рекомендуется отключить, сделать это можно как штатными средствами вида «режим обслуживания» или же «демо режим», которые отключают доступ к страницам сайта, так и путем установки ограничений доступа используя панель управления (рекомендуется использовать именно такой способ отключения) или же файл .htaccess.
2. Следует произвести хотя бы минимальный анализ логов доступа к сайту, на наличие подозрительных запросов, к примеру, GET запросы в которых фигурирует синтаксис языков PHP\SQL либо же длинные запросы с закодированным текстом. Как правило подобные запросы могут производиться злоумышленниками в ходе поиска уязвимости сайта. Если подобные запросы найдены, то следует ограничить доступ IP адресам, отправляющим такие запросы и проверить все действия, выполняемые с этих IP на сайте. Важно обратить внимание и на POST запросы к URL, которые не должны быть доступны, либо иные подозрительные запросы.Также стоит проверить нет ли запросов к файлам, которые отмечены как вирусы.
3. Вирусный код следует проанализировать для понимания того, что именно он должен выполнять. Некоторые найденные вирусы на сайте могут быть лишь искусственно создаваемой брешью для дальнейшего заражения или получения полноценного контроля над сайтом.
4. Если не был найден источник появления вирусов, то дальнейшие действия могут лишь снизить риск повторного заражения. Добиться большей безопасности и точно устранить брешь в таком случае могут помочь только специалисты из сферы разработки сайтов.
5. Восстановление резервной копии сайта до момента заражения. Даже если источник не был найден, восстановление копии может помочь устранить его, при этом обязательно следует выполнить следующие рекомендации.
6. Требуется произвести обновление ядра сайта (CMS или Framework), всех доступных плагинов и используемых библиотек. Нередко уязвимости могут появляться в сторонних дополнениях, используемых на сайте, к примеру, ранее была найдена серьезная уязвимость в плагине Duplicator, позволяющая получить доступ к конфигурационному файлу сайта и множеству его файлов. Если используется полностью собственно написанный сайт, то нужно проверить его код и обновить опасные участки вручную.
7. Следует отказаться от не используемых тем и плагинов. Если таковые дополнения имеются, даже если они отключены, то их следует удалить. Не стоит хранить не используемый код, так как он также может иметь бреши, которые позволят проникнуть на сайт.
8. Ни в коем случае не стоит использовать неофициальные (пиратские) дополнения, будь то тема, плагин, библиотека или вовсе единичный файл. Очень часто подобные «условно бесплатные» дополнения, которые в официальном источнике могут быть получены только на платной основе, имеют умышленно оставленные уязвимости, что в дальнейшем возможно будет использовано или вовсе стало причиной текущего заражения.
9. Если есть возможность установки плагинов безопасности, которые способствуют дополнительной фильтрации запросов к сайту и ограничению доступа к потенциально  опасным файлам, то не следует пренебрегать их установкой. В сфере безопасности нет параноидальных мер.

Что может предложить Хостинг Украина для безопасности сайта

Всегда нужно помнить о том, что безопасность сайта — это ответственность, за которую отвечает только владелец и разработчик сайта. Любой хостинг провайдер может предоставить лишь общие рекомендации или минимальные средства по организации безопасности сайта, но к сожалению, предусмотреть всё невозможно.

Хостинг Украина предоставляет довольно обширные возможности для безопасности Ваших сайтов.

К таковым относятся:

1. Использование модуля mod_security для фильтрации потенциально опасных запросов к сайту или запросов, использующих популярные уязвимости.
2. Полная изоляция хостинг-аккаунтов виртуального и бизнес хостинга между собой средствами CageFS CloudLinux.
3. Возможность организации закрытого доступа к сайту путем ограничения сторонних IP и дополнительной настройке файла .htaccess для фильтрации запросов с определенных стран или UserAgent.
4. Система фильтрации запросов к статическим файлам HotLink, с использованием стороннего заголовка referrer или же при его отсутствии.
5. Возможность отключения опасных функций PHP для каждого отдельного сайта.
6. Автоматическая фильтрация запросов множества ботов, а также проверка подозрительной активности пользователей, с последующей блокировкой или проверкой.
7. Функционал установки защиты от ботов на определенные страницы сайта, добавляющий различные проверки, к примеру, Captcha, элементарные математические счисления или же проверка выполнения JS.
8. Доступ к логам сайта за довольно большой период времени.
9. Регулярное резервное копирование данных.
10. Аналитические инструменты доступа к сайту.
11. Полезная и удобная техническая проверка сайта.

187

561

657