Как обнаружить вредоносный код на сайте


Веб-сервисы для проверки сайтов на вирусы / Хабр

Рано или поздно веб-разработчик, веб-мастер или любой другой специалист, обслуживающий сайт, может столкнуться с проблемами безопасности: ресурс попадает под санкции поисковой системы или начинает блокироваться антивирусом, с хостинга могут прислать уведомление об обнаружении вредоносного кода, а посетители начинают жаловаться на всплывающую рекламу или редиректы на “левые” сайты.

В этот момент возникает задача поиска источника проблемы, то есть диагностики сайта на проблемы безопасности. При грамотном подходе диагностика состоит из двух этапов:

  1. проверки файлов и базы данных на хостинге на наличие серверных вредоносных скриптов и инжектов,
  2. проверки страниц сайта на вирусный код, скрытые редиректы и другие проблемы, которые, порой, невозможно выявить статическим сканером файлов.

Предположим, вы уже проверили файлы на хостинге специализированными сканерами и почистили аккаунт хостинга от «вредоносов» (или ничего подозрительного на нем не нашлось), но поисковик все равно ругается на вирусный код или на сайте по-прежнему активен мобильный редирект. Что делать в этом случае? На помощь приходят веб-сканеры, которые выполняют динамический и статический анализ страниц сайта на вредоносный код.

Немного теории


Статический анализ страниц – это поиск вредоносных вставок (преимущественно javascript), спам-ссылок и спам-контента, фишинговых страниц и других статических элементов на проверяемой странице и в подключаемых файлах. Обнаружение подобных фрагментов выполняется на основе базы сигнатур или некоторого набора регулярных выражений. Если вредоносный код постоянно присутствует на странице или в загружаемых файлах, а также известен веб-сканеру (то есть он добавлен в базу сигнатур), то веб-сканер его обнаружит. Но так бывает не всегда. Например, вредоносный код может загружаться с другого ресурса или выполнять какие-то несанкционированные действия при определенных условиях:
  • по завершении загрузки страницы в нее добавляется javascript, который выполняет drive-by download атаку
  • пользователь уходит со страницы, в этот момент подгружается код и открывает popunder с контентом “для взрослых”
  • посетитель сайта находится на странице несколько секунд и только после этого его перенаправляют на платную подписку за смс
  • и т.п.

Несколько таких примеров:

Если заранее неизвестно, какой код провоцирует данные несанкционированные действия, то обнаружить его статическим анализом чрезвычайно сложно. К счастью, есть анализ динамический или иногда его еще называют “поведенческим”. Если веб-сканер умный, он будет не просто анализировать исходный код страницы или файлов, но еще и пытаться совершать какие-то операции, эмулируя действия реального посетителя. После каждого действия или при определенных условиях робот сканера анализирует изменения и накапливает данные для итогового отчета: загружает страницу в нескольких браузерах (причем, не просто с разных User-Agent’ов, а с разными значениями объекта navigator в javascript, разными document.referer и т.п.), ускоряет внутренний таймер, отлавливает редиректы на внешние ресурсы, отслеживает то, что передается в eval(), document.write() и т.п. Продвинутый веб-сканер всегда будет проверять код страницы и объекты на ней как до начала выполнения всех скриптов (сразу после загрузки страницы), так и спустя некоторое время, поскольку современные “вредоносы” динамически добавляют или скрывают объекты на javascript, а также выполняют фоновые загрузки внутри динамических фреймов. Например, код зараженного виджета может через 3 секунды или по движению мыши загрузить скрипт, который вставит на страницу javascript с редиректом на загрузку опасного .apk файла. Естественно, никакой статический анализ (кроме как заранее знать, что виджет опасен) или поиск по файлам такое не выявит.

А теперь, с пониманием требований к диагностике сайта и веб-сканерам, попробуем найти те, которые действительно эффективны. К сожалению, то что представлено на первой странице поисковика по запросу “проверить сайт на вирусы онлайн” сразу никуда не годится. Это или “поделки”, которые в лучшем случае могут выполнить статический анализ страницы (например, найти IFRAME, который может быть и не опасен), или агрегаторы сторонних API, проверяющие URL сайта по базе Google Safe Browsing API, Yandex Safe Browing API или VirusTotal API.

Если проверять сайт десктопным антивирусом, то анализ будет скорее всего также статический: антивирус умело блокирует загрузки с известных ему зараженных сайтов, но какого-то глубокого динамического анализа страниц сайта от него не стоит ожидать (хотя некоторые антивирусы действительно обнаруживают сигнатуры в файлах и на странице).

В итоге, после проверки двух десятков известных сервисов, я бы хотел остановиться на представленных ниже.

Веб-сканер QUTTERA

Выполняет поиск вредоносного кода на страницах, используя бессигнатурный анализ. То есть обладает некой эвристикой и выполняет динамический анализ страниц, что позволяет обнаруживать 0-day угрозы. Из приятных особенностей стоит отметить возможность проверки сразу нескольких страниц сайта, поскольку проверять по одной не всегда эффективно.
Хорошо обнаруживает угрозы, связанные с загрузкой или размерещением троянов, завирусованных исполняемых файлов. Ориентирован на западные сайты с их характерными заражениями, но часто выручает и при проверке зараженных сайтов рунета. Поскольку сервис бесплатный, есть очередь на обработку задач, поэтому придется немного подождать.

Веб-сканер ReScan.pro

Выполняет динамический и статический анализ сайта. Поведенческим анализом детектятся скрытые редиректы, статический анализ ищет вирусные фрагменты на страницах и в загружаемых файлах, а базой черного списка определяются ресурсы, загружаемые с зараженных доменов. Ходит по внутренним ссылкам, поэтому кроме основного URL проверяет еще несколько смежных страниц сайта. Приятным дополнением является проверка сайта по блек-листам Яндекс, Google и VirusTotal. Ориентирован в основном на вредоносы, которые обитают в рунете. Поскольку сервис бесплатный, лимит на проверку – 3 запроса с одного IP в сутки.

Веб-сканер Sucuri

Ищет вирусный код по сигнатурам и с помощью эвристики. Отправляет запросы к нескольким URL на сайте с различными User Agent / Referer. Обнаруживает спам-ссылки, дорвей-страницы, опасные скрипты. Кроме того, умеет проверять актуальные версии CMS и веб-сервера. Ограничений на число проверок не замечено. Из небольшого минуса обнаружилось, что список проверенных сайтов с результатами индексируется поисковыми системами, то есть можно посмотреть, какой сайт и чем был заражен (сейчас в поисковом индексе около 90 000 страниц), тем не менее эффективности сканера это не умаляет.

Redleg's File Viewer

Еще один западный веб-сканер сайтов. Может немного отпугивать своим аскетичным интерфейсом из 90-х, но, тем не менее, он позволяет выполнить полноценный статический анализ сайта и подключенных на странице файлов. При сканировании пользователь может задать параметры User Agent, referer, параметры проверки страницы. В настройках есть проверка страницы из кэша Google. Лимитов на проверку сайтов не обнаружено.

VirusTotal

Ну и, наконец, знакомый многим VirusTotal. Он не является в полной мере веб-сканером, но его также рекомендуется использовать для диагностики, так как он является агрегатором нескольких десятков антивирусов и антивирусных сервисов.

***

Упомянутые веб-сканеры можно добавить в закладки, чтобы при необходимости провести диагностику сразу эффективными инструментами, и не тратить время на платные или неэффективные сервисы.

5 лучших плагинов WordPress для обнаружения вредоносных кодов

WordPress - одна из самых популярных систем управления контентом (CMS), используемая людьми либо для простого ведения блога, либо для других целей, таких как создание магазина электронной коммерции. Также есть плагины и темы на выбор. Некоторые из них бесплатны, а другие нет. Часто некоторые из этих тем загружаются людьми, которые изменили их для собственной выгоды.

Они могут быть заполнены вредоносным кодом, который может легко взломать ваш блог.Иногда в эти темы также добавляются обратные ссылки на их сайты, и обычный пользователь не знает, как справиться с этими обратными ссылками. В этом посте мы собрали эффективных инструментов 9 для борьбы с вредоносным кодом в теме WordPress или веб-сайте.

12 основных плагинов для разработчиков WordPress
12 основных плагинов для разработчиков WordPress

Как самая используемая в настоящее время CMS, WordPress имеет множество плагинов, расширяющих ее возможности. Чтобы назвать несколько, есть... Читать далее

Sucuri Security

Sucuri - хорошо зарекомендовавший себя плагин WordPress для проверки безопасности и вредоносного ПО. Основными функциями, предлагаемыми Sucuri, являются файлы мониторинга , загруженные на веб-сайт WordPress , мониторинг черного списка, уведомления безопасности и многое другое

Существует даже удаленных сканеров вредоносных программ с помощью бесплатного сканера Sucuri SiteCheck. Плагин также предлагает мощный брандмауэр веб-сайта, который можно приобрести и активировать, чтобы сделать ваш сайт еще более безопасным.

Защита от вредоносных программ

Anti-Malware - это плагин WordPress, который можно использовать для сканирования и удаления вирусов, угроз и других вредоносных программ, которые могут присутствовать на вашем веб-сайте WordPress .

Некоторые из его важных функций включают настраиваемое сканирование , полное сканирование, быстрое сканирование, автоматическое удаление известных угроз и многие другие. Вы можете бесплатно зарегистрировать плагин на сайте gotmls. Если вы не пользуетесь сценариями «домашний телефон», избегайте этого плагина, поскольку он использует функцию «домашний телефон» для проверки обновлений.

WP Защита сайта от вирусов

WP Antivirus Site Protection - это плагин безопасности для , сканирующий темы WordPress, а также все другие файлы, загруженные на ваш сайт WordPress .

Основные функции WP Antivirus Site Protection включают сканирование каждого файла, загруженного на ваш веб-сайт, регулярное обновление вирусных баз, удаление вредоносных программ, отправку предупреждений и уведомлений по электронной почте и многое другое. Есть также определенные функции, за которые вы можете заплатить, если хотите еще более строгую безопасность.

Веб-сканер вредоносных программ Quttera

Веб-сканер вредоносных программ Quttera помогает сканировать веб-сайт для защиты от внедрения вредоносного кода, вирусов, червей, вредоносных программ, троянских коней и т. Д. .

Он предлагает некоторые полезные функции, такие как сканирование и обнаружение неизвестных вредоносных программ, статус в черном списке, механизм сканирования с искусственным интеллектом, обнаружение внешних ссылок и многое другое. Вы можете сканировать свой веб-сайт на предмет обнаружения вредоносных программ бесплатно, в то время как другие услуги стоят 60 долларов в год.

Wordfence

Если вы хотите защитить свой сайт от киберугроз , вы можете попробовать плагин Wordfence. Он обеспечивает защиту в реальном времени от известных злоумышленников, двухфакторную аутентификацию, блокирует всю вредоносную сеть (в случае обнаружения), сканирует известные бэкдоры и выполняет множество других функций.

Упомянутые услуги бесплатны, но есть также некоторые дополнительные функции, которые можно получить за плату.

.

Что такое вредоносные сайты?

Большинство людей не знают о том, что вам не нужно намеренно загружать вредоносное вложение, чтобы поставить под угрозу безопасность вашего компьютера. Вредоносные веб-сайты и скрытые загрузки - это всего лишь два способа, с помощью которых ваша безопасность может быть скомпрометирована, если не делать ничего, кроме посещения веб-сайта. И то, и другое подкрепляет необходимость защиты вашего компьютера с помощью надежной программы интернет-безопасности. И, несмотря на то, что вы, возможно, слышали, они нужны Mac не меньше, чем машинам с Windows.

Что такое вредоносный веб-сайт?

Вредоносный веб-сайт - это сайт, который пытается установить вредоносное ПО (общий термин для всего, что может нарушить работу компьютера, собрать вашу личную информацию или, в худшем случае, получить полный доступ к вашему компьютеру) на ваше устройство. Обычно это требует определенных действий с вашей стороны, однако в случае попутной загрузки веб-сайт попытается установить программное обеспечение на ваш компьютер без предварительного запроса разрешения.

Более того, вредоносные веб-сайты часто выглядят как легальные. Иногда они просят вас установить программное обеспечение, которое может понадобиться вашему компьютеру. Например, видео-веб-сайт может попросить вас установить кодек, который представляет собой небольшой фрагмент информации, который видеоплеер должен запускать на веб-сайте. Возможно, вы привыкли устанавливать безопасные кодеки, но требуется всего одна небезопасная установка, чтобы поставить под угрозу ваш компьютер и вашу конфиденциальную информацию вместе с ним. Точно так же веб-сайт может запросить разрешение на установку одной программы, но установить совершенно другую - ту, которая вам определенно не нужна на вашем компьютере.

Что такое попутная загрузка?

Drive-by загрузки еще страшнее, чем вредоносный веб-сайт, хотя иногда они пересекаются. Попутные загрузки можно установить на свой компьютер, просто просмотрев электронную почту, просмотрев веб-сайт или щелкнув всплывающее окно с текстом, предназначенным для введения вас в заблуждение, например ложным сообщением об ошибке. Этот тип вредоносного ПО особенно пугает, потому что практически невозможно узнать, что вы сделали для его установки.Более того, ваше антивирусное программное обеспечение может не обнаружить его, потому что хакеры намеренно затрудняют обнаружение антивирусным программным обеспечением.

Drive-by загрузка часто не требует вашего согласия или обманным путем. Иногда вредоносный код прячется глубоко в коде сайта. После того, как начнется загрузка, будет сложно или невозможно выйти из компьютера, планшета или мобильного телефона. Возможно, вы даже посещаете веб-сайт, который посещали сотни раз и которому доверяете, но каким-то образом туда попала автоматическая загрузка.

Существует множество опасностей и хостинг вредоносных сайтов. автозагрузки - одни из самых новых и страшных. Но есть способы защитить себя, чтобы вы могли пользоваться Интернетом без проблем. Проявите должную осмотрительность и проявите разумную осторожность и ваш веб-серфинг должен быть гладким.

.

Как обнаружить вредоносные плагины в Интернете | Small Business

Плагины браузера - это фрагменты кода, которые добавляют в браузер функции, такие как поддержка воспроизведения видео и возможность отображения определенных типов файлов. Примеры включают медиаплеер QuickTime и плагин Adobe Reader, который позволяет просматривать документы PDF в окне браузера. Однако вредоносные плагины могут вызывать нестабильность и неустойчивое поведение браузера. Выявить и удалить их обычно несложно.

Обнаружение вредоносных плагинов

Откройте окно браузера и посетите заведомо исправный веб-сайт, например Google.com. Зараженные плагины часто внедряют рекламу на отображаемые страницы. Если вы видите много рекламы или странного текста, возможно, у вас зараженный плагин для браузера. Попросите коллегу открыть тот же сайт на своем компьютере и сравнить внешний вид.

Введите несколько веб-адресов вручную, чтобы определить, открывает ли браузер правильные страницы.Некоторые вредоносные плагины перенаправляют вас на небезопасные веб-сайты или создают всплывающие рекламные объявления.

Проверьте стабильность вашего браузера. Если ваш браузер продолжает давать сбой или работает необычно медленно, возможно, ваша система заражена.

Удаление вредоносных плагинов

В Internet Explorer щелкните «Инструменты» и выберите «Управление надстройками». Если вы используете Firefox, нажмите кнопку Firefox в верхнем левом углу и выберите «Надстройки». В Chrome нажмите кнопку меню в правом верхнем углу, наведите указатель мыши на «Инструменты» и выберите «Расширения».»

В IE выберите« Все надстройки »в раскрывающемся списке« Показать », щелкните правой кнопкой мыши плохой подключаемый модуль и выберите« Отключить ». В Firefox нажмите «Плагины», выберите вредоносный плагин и нажмите «Отключить». Если вы используете Chrome, щелкните значок корзины рядом с плагином и нажмите «Удалить» при появлении запроса.

Установите и обновите автономный сканер защиты от вредоносных программ, такой как Malwarebytes Anti-Malware, Spybot Search & Destroy или SUPERAntiSpyware. Эти сканеры часто обнаруживают вредоносные объекты, которые резидентная антивирусная программа реального времени, такая как Microsoft Security Essentials, может пропустить.

Обновите антивирусный продукт и выполните полное сканирование системы. Удалите все найденные следы и перезагрузите компьютер.

Запустите сканер защиты от вредоносных программ, удалите все следы и перезагрузите компьютер.

.Сценарий Python

для обнаружения вредоносного ПО на веб-сайте или процедура обнаружения вредоносного ПО на веб-сайте?

Переполнение стека
  1. Около
  2. Товары
  3. Для команд
  1. Переполнение стека Общественные вопросы и ответы
  2. Переполнение стека для команд Где разработчики и технологи делятся частными знаниями с коллегами
  3. Вакансии Программирование и связанные с ним технические возможности карьерного роста
.

Смотрите также

Поделиться в соц. сетях

Опубликовать в Facebook
Опубликовать в Одноклассники
Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий