DATAWORD - наблюдения оптимизатора - https://dataword.info

Вирусы на сайтах: методы борьбы и профилактика заражения

Опубликовано августа 1, 2008 @ 4:37 pm в разделе Арсенал оптимизатора | 84 Comments

Позволю себе немного отойти от темы раскрутки сайтов и рассказать о не менее важной для всех нас теме защиты своих компьютеров или же своих сайтов от вирусов, которые заражают компьютеры при посещении инфицированных сайтов.
Несмотря на существующие на данный момент системы поиска и устранения подобных опасностей для компьютера рядового пользователя, проблема всё же остаётся актуальной, продолжая быть головной болью как владельца веб-сайта, так и рядового посетителя сайта.
В этой статье я попробую вам рассказать об основных ошибках, которые допускают владельцы и посетители веб-сайтов. Эта статья будет также полезна и оптимизаторам сайтов, так как основную часть своей работы они выполняют в Интернете.

Основные проблемы, которые активно эксплуатируются создателями вирусов для заражения сайтов:

1) Среда разработки веб-сайтов (здесь с подавляющим преимуществом выигрывает операционная система Windows). Эта операционная система редко или даже вообще не обновляется, открывая возможные пути для проникновения вирусов в систему;
2) Некоторые оптимизаторы сайтов настолько считают себя компьютерными гуру, что позволяют себе отключать или даже удалять антивирусные пакеты, считая, что при появлении вируса они сами справятся с проблемой, тем самым играя в игру "Не пойман – не вор";
3) Следующая проблема – "особые" программы, т. е. такие программы, которые написаны неграмотными программистами или же программы, под которые очень часто пишутся вирусные программы. Ко второй категории программ можно отнести такие разработки как браузер Internet Explorer и FTP-клиент TotalCommander. Именно "жезл" IE и сохранение паролей в TC является одним из источников, в котором грамотно написанный сниффер может найти любую интересующую его информацию – в том числе и пару логин/пароль;
4) Использование "небезопасного кода" веб-приложений (движков). Вирусописатели, обнаружив уязвимость движка на вашем сайте, могут внедрять заражённый код на ваш сайт методом XSS (обычно через строку бразуера, методом GET) и SQL-injection внедрение кода в базу данных MySQL через специальные SQL-запросы к базе данных;
5) Социальная инжерения. В последнее время участились случаи показа рекламных баннеров, эмулирующих работу антивирусной программы. На практике это выражается в том, что посетитель сайта видит обычный рекламный баннер, на котором говорится, что компьютер якобы подвергся вирусной атаке, предлагая перейти к лечению вируса. Посетитель, напуганный, часто не осознаёт того, что это просто реклама, и щёлкает по баннеру, переходя на заражённый сайт. Довольно часто это всплывающий баннер (pop-under) и их разновидности (встречаются подобные баннеры и в баннерообменных сетях, так что любой сайт не может быть застрахован от подобного рода рекламы). В этом случае важно не поддаваться панике, здраво оценить ситуацию и по возможности просто закрыть окно браузера (если это возможно) или же сам браузер (снять задачу в "Диспетчере задая Windows", если понадобится), не щёлкая по рекламе подобного рода. Веб-мастерам при выборе рекламной биржи или баннерообменной сети следует проявить особое внимание к критериях их безопасности.

Принципы работы вируса, заражающего сайты

Как это не удивительно, но в подавляющем большинстве случаев причиной заражения собственных сайтов становится сам оптимизатор сайта или веб-мастер. Его халатность приводит к тому, что загруженный вирус (это может быть троянский конь, сниффер и другие их разновидности), который определённым образом крадёт данные об FTP-доступах на сайты веб-мастера и отсылает их создателю вируса. Тот же, в свою очередь (сам или посредством некоторых программ автоматически), через FTP-соединение обновляет индексную страницу того сайта, пароль от которого он получил, помещая на неё вирусный код, заражающий посетителей сайта таким же вирусом или же другим (на усмотрение автора вируса) при просмотре заражённого сайта. Почти всегда "первоначальный" вирус (тот, который запускается браузером на заражённом сайте) загружает свой основной код с сервера или же другой вирус.

Про вирусы, которые распространяются через всенародно любимые социальные сети "В Контакте", "Одноклассники" или Facebook следует, конечно, тоже сказать пару слов. Подобные вирусы работают в тесной связке с этими социальными сетями, т. к. их основная цель – рассылать спам как можно большему числу её пользователей. Для этого создаётся подставной сайт (обычно на бесплатном хостинге), в котором находится фрейм (об этом ниже), подгружающий вирусный код, а запустившийся вирус крадёт ваш cookies с серверов социальных сетей "Одноклассники", "В Контакте" или Facebook, в котором содержится связка логин/пароль, с целью дальнейшей рассылки спама (иногда и просто ссылок на заражённые сайты для распространения вируса) от вашего имени вашим друзьям в этих социальных сетях.

Метод проверки сайта на наличие вируса:

Вирусы, распространяющиеся через сайты, очень часто создают фрейм, через который подгружают вирусный код с другого сайта. Реализуется подобный фрейм через HTML-тег <iframe>, в котором почти всегда содержится тег <script>, содержащий ссылку на подгрузку скрита, написанного на языке Javascript (часто сам URL в нём зашифрован). Бывает, что подобные сайты помечаются поисковыми системами "Яндекс" и Google как потенциально опасные, таким образом поисковые системы предупреждает об опасности, если таковые сайты попадут в результаты выдачи по поисковым запросам. Помимо этой информации рекомендую ознакомиться с перечнем известных на сегодняшний день вирусов, заражающих сайты. Об этом чуть ниже.

Лечение сайта, заражённого вирусом

Для начала нужно просканировать операционную систему комьютера, через который осуществляется управление сайтом (обычно это локальный компьютер дизайнера или веб-мастера часто под управлением операционных систем семейства Microsoft Windows),  современным антивирусом с обновлённой вирусной базой или антивирусными утилитами, чтобы найти и дезактивировать вирус.

Затем необходимо удалить с сайта (обычно с индексного файла: index.php, index.html, start.html и им подобных) участки вирусного кода.

Следует заметить, что часто инфицируются теги <script>, <iframe>. К тому же почти всегда они шифруются, поэтому найти их довольно просто.

После процедуры очистки сайта - сменить пароли на все SSH- и FTP-серверы сайта. Для большей безопасности советую также поменять пароли  на всех сервисах, причастных к работе сайта (базам данных MySQL и другим, phpmyadmin и другим менеджерам управления базами данных,  панели управления сайтом cpanel и им подобным, "админке" CMS сайта).

Перечень самых распространённых вирусов, заражающих сайты:

1) Червь Mal/IFrame (дата обнаружения: 16 апреля 2007 года) - это самый распространённый вирус, который лидирует среди веб-угроз по всему Миру. Его доля встречаемости составляет более 50 % случаев;
2) Червь Mal/ObfJS (дата обнаружения: 11 апреля 2007 года) занимает вторую строчку нашего «хит-парада». Его доля более 19 %. Этот червь пытается загружать и устанавливать другие вирусные коды из Интернета на ваш компьютер (впрочем, как и наш лидер);
3) Троян Troj/DRClick (дата обнаружения: 23 ноября 2007 года) – более 14 % встречаемости. Этот вирус контролирует активность браузера, автоматически открывает некоторые веб-сайты;
4) Троян Troj/Unif (дата обнаружения 22: января 2008 года) – более 3 % встречаемости. Это опасный javascript-код, который перенаправляет браузер на сайты злоумышленника;
5) Троян Troj/Decdec (дата обнаружения 15 февраля 2007 года) – более 2 % встречаемости. Этот вирус загружает новые вирусные коды из Интернета на ваш компьютер и пытается их установить.

Рейтинг стран, на территории которых располагается больше всего заражённых вирусами страниц сайтов:

Китай (40,9 %), США (33,9 %), Россия (6,8 %), Германия (3,8 %), Украина (2,2 %), Турция (1,4 %), Великобритания (1,2 %), Польша (0,8 %), Нидерланды (0,7 %), Италия (0,6 %).

Что нужно делать, чтобы максимально обезопасить себя от вирусов на сайтах?

- Использовать альтернативные операционные системы (желательно Unix-подобные), если же нет, то следите за обновлениями операционной системы Windows и вовремя их устанавливайте (особенно следите за заплатками браузера Internet Explorer, через дыры которого проходит наибольшее число веб-вирусов);
- Использовать альтернативные браузеры последних версий (Opera, Firefox, Google Chrome). Для пущей безопасности, например, в браузере Opera можно отключить обработку тега <iframe>. Почти во всех браузерах можно отключить некоторые модули языка javascript;
- Использовать последнюю версию антивируса с обновлённой вирусной базой + иметь в наличии свежие версии бесплатной утилиты от [1] Dr.Web CureIt!, сохранённую где-нибудь на флешке, чтобы в случае сбоя системы или антивируса как-то обезвредить вирус на локальном компьютере + [2] Dr.Web LiveCD от этой же компании с возможностью аварийной загрузки системы и сканирования на предмет наличия вирусов. Всё это доступно на их сайте бесплатно;
- Использовать самые последние версии ПО на вашем сервере, почаще обновлять веб-приложения (движки) на вашем сайте и закрывать уязвимости;
- Вы можете подключить ваш сайт к системе [3] http://www.siteguard.ru/, через которую можно следить за изменениями кода (преимущественно это javascript код) на страницах вашего сайта. В случае обнаружения изменённого кода на сайте, система может сообщить вам об этом по электронной почте, через аську и даже SMS;
- Внимательно следите за теми местами сайта, которые загружают информацию с других сайтов (различные баннерные сети, коды биржи продажи ссылок и статей, информеры и другие). Через уязвимости в их коде вирус может проникнуть на ваш сайт. Иногда (что довольно редко) вирус может проникнуть, например, в баннерообменную сеть, что может привести к тому, что сайт будет заражён даже и без проникновения вируса на ваш сайт;
- Как можно чаще делать бекапы вашего сайта на различные носители информации. Желательно, чтобы ваш хостер их делал автоматически и предоставлял их вам по мере надобности. Если есть бекап, то можно сайт легко восстановить в том случае, если вирус нарушил его работоспособность. Да и вообще бекап делать полезно и при других проблемах, которые могут случиться на сайте.

Если вы будете следовать этим простым советам, то ваш веб-сёрфинг в Интернете станет гораздо безопаснее.

На сегодня всё. Будьте здоровы и до новых встреч! С вами всегда ваш Автор блога Виталий.


Статья напечана с сайта DATAWORD - наблюдения оптимизатора: https://dataword.info

Адрес статьи: https://dataword.info/virus-alert.php

URLs in this post:
[1] Dr.Web CureIt!: http://www.freedrweb.com/cureit/
[2] Dr.Web LiveCD: http://www.freedrweb.com/livecd/
[3] http://www.siteguard.ru/: http://www.siteguard.ru/