Решил поделиться 6 летним опытом разработки и рассказать о способах проверки сайта на наличие вирусов и вредоносного кода. Какие онлайн инструменты можно использовать, как быстро и эффективно просканировать свой ресурс вручную. На что обращать внимание и как предотвратить дальнейший взлом.
- Онлайн-сервисы
- VirusTotal
- Dr. Web Online
- Kaspersky Threat Intelligence Portal (VirusDesk)
- PR-CY
- 2IP
- Yandex Safety
- Google Safe Browsing
- Quttera Malware Scanner
- Sucuri
- Antivirus Alarm
- VirSCAN
- UpGuard
- Site Guarding
- Профессиональный мониторинг
- Ручная проверка
- Aibolit (скрипт Айболит)
- Avirlab
- Антивирусные сканеры
- Заключение
- Комментарии пользователей
Онлайн-сервисы
Проверяют сайты в автоматическом режиме. Хорошо находят мобильные редиректы и вычисляют вредоносные JS вставки. Но, к сожалению, не находят виновников взлома. Как правило, это специальный «php или tpl» файл, через который хакер получает доступ к ресурсу. Дальше делает с ним все, что захочет. Такие объекты находятся исключительно вручную, удаляются или заменяются оригинальными «чистыми». Об этом подробно расскажу в соответствующей главе.
VirusTotal
Существует с 2002 года, начала интернет эпохи. Для анализа использует антивирусные базы от 89 популярных антивирусов. В это число входят: Доктор, Касперский, Гугл и Яндекс. Ложные срабатывания – большая редкость, а эффективность давно доказана мастерами. Поэтому, начнем с него.
- Переходим на официальную страничку.
- Поле «Search or Scan a URL» вставляем адрес сайта и жмем «Enter».
- Начнется сканирование, дождитесь завершения. Если оно не началось и результаты отобразились сразу, нажмите по кнопке «Reanalyze».
В идеале, когда ресурс полностью чист, о чем сообщает зеленая отметка с текстом «Clean». В противном случае безопасность вызывает сомнения и нужно проводить дополнительные проверки.
Dr. Web Online
Антивирусный онлайн сканер от Доктор Веб. Анализирует все типы сайтов с протоколом http и https. Не обращайте внимание, если в форме ввода подсвечивается только http. Указывайте правильный адрес. Обязательно воспользуйтесь этим сервисом, прежде чем переходить по сомнительным ссылкам. Особенно из email писем, sms сообщений с телефона и рекомендаций из комментариев на торрентах.
Kaspersky Threat Intelligence Portal (VirusDesk)
Предоставляет два типа проверки: быстрая (без регистрации) и полная (с регистрацией). При быстрой выполняется базовой анализ – доступна неограниченное количество раз. При полной происходит более тщательное сканирование и выводится подробная информация о сайте и заражении. Доступна только 1 раз в сутки. Интерфейс на русском языке.
PR-CY
Объединяет в себе два способа диагностики: через яндекс и гугл. Бесплатен, надежен и выявляет распространенные типы угроз. Единственный минус – действуют ограничения на количество проверок в сутки, на бесплатном тарифе доступно только 5.
2IP
В последнее время работает с перебоями. Застать его полностью функционирующим сложно. Возможно, к выходу этой статьи работа наладится и им будет комфортно пользоваться. Ведь это хороший онлайн-сервис с высоким уровнем обнаружения всякой заразы.
Yandex Safety
Использует технологию безопасного просмотра. С ее помощью ежедневно сканируется миллионы URL адресов и обнаруживаются тысячи небезопасных страниц. При переходе на зараженный веб-ресурс, пользователь видит предупреждение. Так Яндекс защищает компьютеры обычных юзеров от взлома и потери конфиденциальной информации.
Google Safe Browsing
Бесплатный инструмент от разработчиков Google. Им ежедневно сканируются миллиарды веб-сайтов, находятся тысячи вредоносных ресурсов, содержащие рекламные вставки, мобильные редиректы и вирусы (в частности майнеры). К счастью, они автоматически блокируются, предотвращая переход пользователей. Поэтому, если сайт вызывает сомнения или замечено сильное падение трафика, то стоит его проверить.
Quttera Malware Scanner
Никаких ограничений нет, но иногда требуется дождаться очереди. Сервисом пользуются люди со всего мира. Безопасный и надежный, с высоким уровнем обнаружения вирусов и вредоносных вставок. Находит malware и автоматические переадресации (мобильные редиректы). Для WordPress разработчики предлагают специальный плагин, который легко определяет источник заражения сайта. Дальше его можно удалить или вылечить, правда, вручную.
Sucuri
Отличный сервис от разработчиков защитного программного обеспечения. Проводит комплексную проверку безопасности. Сканирует на вредоносные программы, вирусы и наличие ресурса в черном списке. В результатах предоставляет ссылки на потенциально опасные объекты и дает рекомендации. Также есть плагин для WordPress. Обязательно им воспользуйтесь.
Antivirus Alarm
У меня заработал только в режиме «Инкогнито» (вызывается комбинацией CTRL+SHIFT+N), без включенных в браузере расширений и специальных настроек. Хорошо определяет внутренние и внешние файлы с кодом, сканирует и выдает результат. Возможны, ложные срабатывания. Часто ругается «Jiangmin», распознает троян «TrojanDownloader.JS.bcgi». Ничего страшного в этом нет, если другие инструменты ничего плохого не нашли.
VirSCAN
Куда лучше работает файловый сканер, чем онлайн. Использует несколько баз и вполне пригоден для дополнительной проверки. Вставьте ссылку на сайт в поле «Search or scan a URL» и нажмите «Scan». Подождите несколько секунд. Результаты отобразятся в таблице ниже в разделе «Scanner results».
UpGuard
Сканер, который полностью просканирует сайт на наличие последних видов угроз и даст дополнительные рекомендации для повышения безопасности. Действует система внутренней оценки, где отличным – считается значение выше 900 баллов. Правда, ругается даже на бесплатные SSL сертификаты с базовой защитой «Let’s Encrypt». Настораживать это не должно и тем более не повод для принятия срочных мер.
Site Guarding
Для начала проверки понадобится указать email и URL адрес. Регистрация при этом не требуется. В результатах отображает состояние веб-ресурса, нахождение в черных списках и наличие вирусов. В разделе «Link Analyze» отображает список подозрительных элементов и краткое описание.
Сообщение «JavaScript virus injection too many \u» и говорит о присутствии зашифрованного кода, например, «\u041d\u0435\u043e\». Такой вариант используют хакеры, чтобы замаскировать опасный участок кода. Но, прежде чем что-то удалять, посоветуйтесь со специалистом, возможно, код не представляет угрозы. Часто, он автоматически шифруется средствами движка «CMS» или разработчиком плагина, расширения или темы для защиты своего продукта от кражи.
Профессиональный мониторинг
Также существуют полноценные онлайн антивирусы, которые круглосуточно мониторят сайты и сигнализируют о проблемах. К таким относятся: detectify и netspaker. Среди плюсов: комплексный и детальный анализ с рекомендациями по обеспечению защиты. Среди минусов: ограниченная по времени триальная версия и не маленькая стоимость. На мой взгляд, лучше перенести свой проект на хороший хостинг с установленным антивирусником.
Ручная проверка
Подходит для людей, кто хоть немного разбирается в html, php и javascript. Знает, на что обращать внимание, что можно удалять, а что нет. Это важно, поскольку от неправильных действий пострадает сайт. Перестанут работать некоторые функции или он вовсе упадет.
В любом случае перед внесением изменений желательно сделать бэкап (резервную копию), чтобы в случае чего иметь возможность восстановить работоспособность. Большинство хостингов позволяют сделать это в несколько кликов через панель управления.
Aibolit (скрипт Айболит)
Профессиональное решение от компании Revisium. Работает на локальном компьютере без установки. Нужно лишь скачать, распаковать в папку с англоязычным названием, переместить проверяемые объекты в каталог site и запустить двойным кликом батник «start_paranoic.bat».
По завершении появится «AI-BOLIT-REPORT.html». Откройте в любом браузере.
Сверху отобразятся количество сомнительных объекты, а снизу, участки кода, вызвавшие подозрение.
Его нужно проверить и при необходимости удалить. Правда, без специальных знаний здесь не обойтись.
Вот несколько примеров вредоносного кода.
Avirlab
Онлайн детектор, который нужно скачать с официальной странички, а затем загрузить в корневую папку сайта на хостинге.
Далее перейти по пути «https://имя_вашего_домена/название_скачанного_файла.php» и ввести указанный при скачивании пароль, чтобы получить доступ к детектору.
Запустите сканирование и подождите несколько минут. В результатах отобразится количество опасных и подозрительных объектов, не пугайтесь, если их слишком много. Большинство из них – это ложное срабатывание. Но в любом случае, отчет лучше показать профессионалу для экспертного заключения.
Антивирусные сканеры
Cureit, KVRT и Emsisoft Emergency Kit тоже находят вирусы в php, tpl и js, но лишь некоторые из существующих. Они разрабатывались больше для компьютеров, чем для сайтов. Использовать можно, но только в роли вспомогательных инструментов.
Заключение
Если хоть один из инструментов просигнализировал о вирусах или проблемах безопасности, то нужно в этом тщательно разобраться и принять меры. Особенно когда:
- Наблюдается падение трафика.
- Отключается контекстная реклама. Поисковики не показывают рекламу на опасных веб-ресурсах.
- Хостинг (сервер) работает на пределе своих возможностей или падает. Также присутствуют уведомления о наличии угроз от службы поддержки. Это отображается в панели управления хостингом.
- Страницы массово выпадают из индекса.
- Пользователи жалуются на автоматические перенаправления или всплытие окон с рекламой.
А вот несколько рекомендаций, которые защитят не только веб-сайт, но и компьютер.
- Заказывайте услуги только у проверенных и опытных фрилансеров с рейтингом.
- Чаще меняйте пароли в админ панель, от хостинга и ftp.
- Пользуйтесь только официальными плагинами, расширениями и темами. Не устанавливайте nulled (активированные) версии.
- Выбирайте надежные хостинги и сервера. Часто заражается сервер и следом сайт.
- Установите расширение для браузера «WOT» и комплексный антивирус со встроенным сканером ссылок, например, «Касперский». Тогда в момент захода на мошеннический или подозрительный ресурс отобразится предупреждение, и переход остановится.
- Не пользуйтесь торрентами, особенно малоизвестными. Скачивайте программы только с официальных источников.
- Ни в коем случае не храните конфиденциальную информацию, в том числе пароли в незащищенном виде. Используйте LastPass.
Нужна помощь в лечении? Обращайтесь, буду рад помочь.
Согласен, 2 ip в последнее время не очень хорош, то пашет, то нет. Даже если удается застать рабочим, то ничего не обнаруживает. А вирустотал конечно в топе.
Чтобы перестали взламывать, нужно поставить защиту. Для cms wordpress достаточно установить wordfence.
Спасибо за полезный контент. Как всегда, приятно читать. Узнал много нового!
В 2019 когда яндексоиды обновили поисковые алгоритмы, все мои проекты попали под санкции. Количество запросов в топе упало до 0. После долгих разбирательств узнал, что на стороне поисковика из органической выдачи происходила полная блокировка посетителей. Когда человек тыкал на сниппет, отображалось сообщение о небезопасности. Потерял кучу трафа, позиции до сих пор не восстановились. Вся репутация коту под хвост. Очень болезненно это перенес. И морально и в плане потери денег. С проектами распрощался и ушел от нестабильного SEO подальше.
Это уже не новость.
В том же году в августе ко мне обратились владельцы нескольких крупных информационных порталов (называть домены не стану, чтобы не казалось рекламой) с той же проблемой. Все чекнул несколько раз, вирусным заражением даже не пахло. Не понял в чем дело. Начал мониторить форумы. На searchengines узнал, что виновата реклама от гугла. Установил скрипт Сергеича для автоматической блокировки спам доменов. Первый вышел из под фильтра спустя месяц, второй, только на третий месяц. Такой вот опыт.
Слышал, что некоторые умники максируют форму подписки под уведомления о cookie.
У меня стоял Вордпресс 3 версии. Программист сказал, что у него много уязвимостей и надо обновить. Этого будет достаточно. Правда ли это? Сможете помочь? Хотя бы ответом.
Действительно, обновить движок необходимо. Но это не основная проблема. Существуют различные способы взлома, WP не идеален и не защищает от всех видов угроз. Нужно устанавливать firewall и закрывать дыры в безопасности.
Огромное уважение, что можно скачать айболит. Нереально найти его сейчас
Часто использую в лечении. Вот, решил поделиться)
Если загрузка сайта длится более минуты… Это вирус или просто не оптимизирован? Как узнать?
Проверьте через webpagetest.org (это бесплатно) и скиньте ссылку с результатами. Посмотрю и скажу.
А что скажите насчет dareboost? Нашел через поиск. Какая между ними разница?
А как бороться с мошенничеством?
Никак, хоть это и является незаконным. Но часто остается безнаказанным.
Зарегистрировался на detectify, но не вижу форму входа в аккаунт.
Просмотрите почту, которую указали при регистрации. На нее придут необходимые данные.
Я не любитель всяких скриптов, но за aibolit спасибо. Похоже, что парни из Авирлаба подхватили эту идею и создали похожую проверялку.
Правильно говорите, берегите данные! Украдут, волосы будете на голове рвать.