RU
Вход
Поиск и устранение вредоносного кода на сайтах.
В сети интернет существует множество вирусов, распространяющихся через веб-сайты. Ответственность за безопасность веб-ресурса лежит на его владельце, однако, к сожалению, не все относятся к данной обязанности с должным вниманием.
Соблюдение нескольких элементарных правил поможет защитить Ваш сайт:
-
используйте сложные пароли - латинские символы верхнего и нижнего регистра в сочетании с цифрами и сложными символами;
-
не сообщайте авторизационные данные сторонним лицам;
-
устанавливайте модули и шаблоны CMS только с официальных ресурсов разработчика;
-
обновляйте модули только с официальных ресурсов разработчика;
-
при добавлении на сайт формы обратной связи, убедитесь, что в ней присутствует сложная капча;
-
своевременно обновляйте CMS;
Рассмотрим вариант заражения, связанный со взломом сайта.
Одним из самых распространенных последствий взлома сайта, является загрузка вредоносных скриптов на хостинг и внедрение их в кодовую базу этого сайта. Подобные скрипты используются для различных вредоносных действий, таких как рассылка спама, осуществление DDOS/bruteforce атак на другие ресурсы, распространение вирусов, перенаправление посетителей на фишинговые страницы, и выполнение других запрещенных действий. Данная активность приводит к нагрузке веб-сервера, что сказывается на остальных его пользователях. В связи с этим, подобные действия отслеживаются и изолируются хостинг-провайдером.
У владельца сайта возникает два важных вопроса:
1. Что сделать, чтобы хостер разблокировал сайт?
2. Что сделать, чтобы предотвратить подобную ситуацию в будущем?
Что сделать, чтобы хостер разблокировал сайт?
Когда хостинг-провайдер блокирует аккаунт за рассылку спама, владельцу данного аккаунта высылается соответствующее уведомление, содержащее пример вредоносного сообщения, отправленного с его сайта . Из указанного сообщения иногда можно определить файл, содержащий вредоносный скрипт, который осуществлял рассылку.
Пример:
|
200P Received: from domain by by164.net with local (Exim 4.80.1) (envelope-from <webmaster@domain.com>) id 1Wt8ty-0001S7-0i for cshоrt@аriеsnеt.com; Sat, 07 Jun 2014 08:10:46 +0300 024T To: cshоrt@test.com 027 Subject: Ship Notification 039 X-PHP-Script: domain.com/ for 127.0.0.1 047 X-PHP-Originating-Script: 1586:841rewb3v4x.php 048F From: "Postal Service" <message_id17@domain.com> 030 X-Mailer: CSWMSAutoMailer:reg 052R Reply-To: "Postal Service" <message_id17@domain.com> 018 Mime-Version: 1.0 081 Content-Type: multipart/alternative;boundary="----------140211784653929ED602110" 051I Message-Id: <E1Wt8ty-0001S7-0i@by164.net> |
Здесь, как и во всех письмах, присутствуют поля “FROM:”, “TO:”, “SUBJECT:”, из содержимого которых можно определить, отправителя, получателя и тему сообщения.
Иногда (но не всегда) в заголовках присутствуют поля “X-PHP-Scrip”и “X-PHP-Originating-Script”, которые содержат адрес скрипта, при помощи которого осуществлялась рассылка спама. В данном случае это скрипт под именем 841rewb3v4x.php
Поиск и устранение скрипта можно организовать следующим образом
-
Загрузка посредством FTP-доступа файлов сайта на локальный компьютер и поиск вредоносного скрипта при помощи антивируса, либо вручную
