На сайте завелся вирус, и, как любой зараженный объект, ваш веб-ресурс превратился в один большой источник неприятностей: теперь он не только не приносит прибыль, но и порочит вашу репутацию в интернете, от вас отворачиваются покупатели, поисковые системы и даже хостер.

Вы остаетесь один на один со своей проблемой и пытаетесь решить ее собственными силами, не обращаясь к профессионалам, зато следуя советам «специалистов» с форумов. Или заказываете лечение сайта там, где «подешевле». Что поделать, ведь всегда хочется решить проблему как можно быстрее и с наименьшими затратами. Но всегда ли такой подход оправдан?

Представляем вашему вниманию ТОП-7 ошибок прошедшего года, которые совершали веб-мастера, стараясь восстановить работоспособность сайта после взлома и заражения.

Ошибка №1. Восстановление сайта из бэкапа как способ избавиться от вредоносного кода

Очень часто проблему заражения сайта вредоносным кодом веб-мастера пытаются решить откатом сайта до последней чистой версии. И продолжают восстанавливать веб-проект каждый раз, как только вирус на сайте вновь дает о себе знать. Увы, это неудобный и очень рисковый вариант.

Правильное решение: Сайт нужно лечить и ставить защиту от взлома, чтобы избежать повторного заражения. Во-первых, контент сайта может обновляться, на сайт могут устанавливаться новые плагины, в скрипты сайта могут вноситься изменения. Каждый откат назад означает, что вы теряете результаты трудов всех последних дней. Но есть и более важная причина для кардинальной борьбы со взломом: а что если хакер в один прекрасный день решит уничтожить ваш сайт полностью, ведь у него есть доступ к вашему веб-ресурсу?

Ошибка №2. Обман поисковика с целью вывода сайта из-под санкций

Сайт попадает в список «угрожающих безопасности компьютера или мобильного устройства…» из-за вируса на сайте или редиректа посетителей на зараженный ресурс. В панели веб-мастера отображаются примеры зараженных страниц, но хитрый или невежественный веб-мастер вместо решения проблемы (поиска и удаления источника вредоносного кода) удаляет некоторые страницы, которые показывают поисковики в примерах заражения. Или, как вариант, целиком блокируют доступ к сайту с помощью правил в robots.txt, наивно полагая, что это заблокирует и доступ антивирусному боту к сайту.

Правильное решение: Нужно найти вирусный код на сайте и удалить его. Запрещать индексацию не только бесполезно, но и опасно. Во-первых, страницы сайта могут выпасть из поискового индекса. Ну, а, во-вторых, робот антивирусного сервиса работает по правилам, отличным от правил поискового механизма, и запрет индексации на него никак не влияет.

Ошибка №3. Использование сканера вредоносного кода некомпетентными специалистами

С целью экономии или по каким-то другим причинам лечением сайта начинает заниматься недостаточно подготовленный специалист, который не может на 100% определить, является ли фрагмент, выделенный сканером вредоносного кода, действительно опасным. В результате можно наблюдать две крайности: удаляются абсолютно все подозрения на вирус, что приводит к поломке сайта, либо вредоносный код устраняется не полностью, что провоцирует рецидив.

Правильное решение: Очевидно, что лечением веб-ресурса должны заниматься профессионалы. В отчете сканеров вредоносного кода бывают ложные срабатывания, так как один и тот же фрагмент может использоваться как в легитимном коде, так и хакерском. Нужно анализировать каждый файл, иначе можно удалить критические элементы, что может привести к сбоям в работе сайта или его полной поломке. Или, наоборот, есть риск не распознать хакерский шелл, что приведет к повторному заражению веб-ресурса.

Ошибка №4. Игнорирование сообщений (в панели веб-мастера) о присутствии вредоносного кода на сайте

Уведомление о присутствии вредоносного кода на сайте в панели веб-мастера может быть непостоянным. Сегодня система пишет, что на вашем сайте вирус, а завтра - молчит. Владельцу сайта приятнее думать, что в системе произошел какой-то сбой, и его сайт вне всяких подозрений. Однако на практике все обстоит не так. Существуют разные виды заражений. Вредоносный код может появляться на сайте лишь на какое-то время, а потом исчезать. Это значит, что при очередной проверке сайта ботом антивируса поисковой системы вредонос может быть обнаружен, а при другой - нет. В результате веб-мастер «расслабляется» и начинает игнорировать опасное сообщение: «Зачем тратить время на лечение, ведь сайт не заблокировали».

Правильное решение: Если на сайте замечена вредоносная активность, скорее всего ваш, веб-ресурс взломан и заражен. Вирусы на сайте не появляются сами по себе. То, что вчера поисковик обнаружил подозрительный код на сайте, а потом «промолчал», не только не должно игнорироваться веб-мастером, а, наоборот, должно послужить сигналом к тревоге. Кто знает, каким образом ваш ресурс будет эксплуатироваться завтра? - Спам, фишинг или редиректы. Нужно сразу выполнить сканирование сайта на наличие хакерских бэкдоров, шеллов, пролечить и защитить от взлома.

Ошибка №5. Лечение сайтов фрилансерами-непрофессионалами.

В принципе, работа с фрилансерами в данном вопросе ничем не отличается от других сфер. Дешево - не всегда качественно, зато почти всегда без гарантий и договорных отношений. Большинство фрилансеров, не специализирующихся на проблемах безопасности сайтов, работают с последствиями хакерской атаки, но не с причиной - уязвимостями сайта. А это значит, что сайт могут взломать повторно. Хуже того, встречаются и недобросовестные исполнители, которые могут подсадить другой вредоносный код на сайт, украсть базу данных и т.п.

Правильное решение: Обратитесь в специализированную компанию, которая занимается лечением и защитой сайтов от взлома. Сотрудники таких компаний каждый день удаляют вредоносный код, видят мутацию вирусов и следят за эволюцией хакерских атак. Темный рынок взломов не стоит на одном месте, он развивается и требует постоянного мониторинга и соответствующих ответных действий при лечении и защите сайта от несанкционированных вторжений.

Ошибка №6. Ежедневное/еженедельное удаление одного и того же вируса с сайта.

Эта проблема касается особых «энтузиастов», которые готовы на регулярной основе устранять последствия взлома. Такие веб-мастера уже знают, какой конкретно код будет подсажен на сайт, конкретно куда и когда это произойдет. Так можно бесконечно бороться с мобильным редиректом, который ежедневно в 09-30 внедряется злоумышленником в файл.htaccess и перенаправляет ваш мобильный трафик на сайт по продаже виагры или порноконтента. Только вот незадача: хакерский бот делает это в автоматическом режиме, а вам приходится выполнять операцию по удалению вручную. Не честно ведь, правда?

Правильное решение: Можно бесконечно удалять последствия (вирусы, редиректы и пр.), но эффективнее проверить сайт на вредоносные и хакерские скрипты, удалить их и установить защиту от взлома, чтобы больше вирусный код не появлялся. А освободившееся время потратить более эффективно. Главное, помните, что у хакера уже есть доступ к вашему сайту, а это значит, что в следующий раз он может не ограничиться знакомым вам вредоносным кодом, а использовать ваш сайт для более серьезных кибер-преступлений.

Ошибка №7. Лечение завирусованного сайта антивирусом для компьютера

Понятие «антивирус» для некоторых веб-мастеров универсально, и они пытаются вылечить взломанный и зараженный сайт с помощью антивируса, предназначенного для компьютера. Делается бэкап сайта и проверяется десктопной версией антивирусного программного обеспечения. Увы, но такое лечение не в состоянии дать желаемых результатов.

Правильное решение: Вирусы на сайте и на компьютере - не одно и тоже. Для проверки сайта нужно использовать специализированное ПО или обращаться к специалистам. Десктопные антивирусы, какими бы хорошими они ни были, не предназначены для лечения сайтов от вирусов, так как их база данных ориентирована на вирусы и «трояны» на компьютере.

На этом все. Не наступайте на те же грабли!

Данная неполадка может быть вызвана внедрением вредоносной программы в браузер. Этот тип вредоносных программ направлен на изменение параметров браузера. Возможно возникновение любой из указанных ниже ситуаций:

Если на экране отобразится всплывающее окно со ссылкой на сторонний веб-сайт службы поддержки или вы уверены, что стали объектом мошеннических действий, ознакомьтесь со статьей .

Выполнение сканирования Norton Power Eraser - Сканирование на нежелательные приложения

Выберите в качестве расположения Рабочий стол и нажмите кнопку Сохранить .

Для запуска Norton Power Eraser дважды щелкните файл NPE.exe .

Если появилось окно

Сканирование на нежелательные приложения .

Результаты сканирования Norton Power Eraser будут показаны в окне .

В окне Сканирование на нежелательные приложения завершено нажмите кнопку Удалить напротив нежелательного приложения или панели инструментов.

Выполните показанные на экране инструкции.

После завершения процесса удаления перезагрузите компьютер.

Если Norton Power Eraser не удалось удалить нежелательные панели инструментов, удалите их вручную с помощью функции "Установка и удаление программ" или "Удаление программы" на панели инструментов. Программы показа рекламы обычно устанавливают новые панели инструментов в браузерах и изменяют службу поиска, применяемую по умолчанию. Для того чтобы полностью удалить нежелательные панели инструментов и службы поиска, необходимо сбросить настройки веб-браузера.

Запустите Internet Explorer.

В меню Сервис выберите Управление надстройками .

В окне Надстройки выберите Панели инструментов и расширения в разделе Типы надстроек .

Если показанный список будет содержать подозрительную панель инструментов, выберите ее и нажмите кнопку Отключить .

В окне Надстройки выберите Поставщики поиска в разделе Типы надстроек .

Выберите службу поиска и нажмите Использовать по умолчанию .

Выберите неизвестную службу поиска и нажмите Удалить и Закрыть .

В меню Сервис выберите Свойства обозревателя .

На вкладке Общие в разделе Домашняя страница введите адрес предпочитаемой начальной страницы.

Нажмите кнопки Применить и OK .

На рабочем столе щелкните правой кнопкой значок Internet Explorer и выберите Свойства .

В окне Свойства Internet Explorer на вкладке Ярлык удалите текст после iexplore.exe в поле Объект .

Нажмите Применить и OK для сохранения изменений.

Нажмите кнопку Закрыть .

Запустите Google Chrome.

В правом верхнем углу нажмите значок Настройка и управление Google Chrome , затем выберите Настройки .

В области Chrome нажмите Расширения .

В окне Расширения выберите неизвестные расширения и нажмите значок корзины.

В области Chrome нажмите Настройки .

В окне Настройки выберите Следующие страницы в разделе Начальная группа .

В окне Начальные страницы выберите подозрительные записи и нажмите значок X .

Нажмите кнопку OK .

В окне Настройки выберите Показывать кнопку "Главная страница" в разделе Внешний вид и нажмите Изменить .

В окне Главная страница выберите пункт Страница быстрого доступа и нажмите кнопку OK .

В окне Настройки нажмите в разделе Поиск .

В окне Поисковые системы выберите предпочитаемую поисковую систему и нажмите Использовать по умолчанию .

В списке Настройка поиска по умолчанию выберите неизвестную службу поиска и нажмите значок X .

Нажмите кнопку Готово .

Запустите Firefox.

В правом верхнем углу нажмите значок Открыть меню и выберите Дополнения .

На странице Управление дополнениями выберите Расширения .

Проверьте список расширений на наличие подозрительных записей. Если они есть, выберите расширение и нажмите Отключить .

Нажмите значок Открыть меню и выберите Настройки .

На вкладке Основные окна Настройки нажмите кнопку Восстановить по умолчанию .

Нажмите кнопку OK .

В окне Firefox нажмите значок со стрелкой вниз рядом с полем URL и выберите Управление поисковыми системами .

В окне Управление списком поисковых систем выберите неизвестную службу поиска и нажмите кнопку Удалить .

Нажмите кнопку OK .

Выполните сканирование Norton Power Eraser

Дважды щелкните файл NPE.exe для запуска Norton Power Eraser.

Если появилось окно Управление учетными записями пользователей , нажмите кнопку Да или Продолжить .

Ознакомьтесь с условиями лицензионного соглашения и нажмите кнопку Принять .

В окне Norton Power Eraser нажмите значок Сканировать на предмет угроз .

По умолчанию Norton Power Eraser выполняет сканирование системы на наличие руткитов и предлагает перезагрузить систему. В окне запроса на перезагрузку системы нажмите кнопку Перезагрузить . Для отказа от сканирования на наличие руткитов выберите .

После перезапуска компьютера процесс сканирования запускается автоматически. Выполните показанные на экране инструкции.

Дождитесь результатов сканирования.

Видеоролик

Требуется дополнительная помощь?

Check for incorrect DNS settings

control

Click the Network and Internet icon, and then click Network and Sharing Center . In the left pane, click Change adapter settings .

On Windows XP: Double-click the Network Connections icon.

Right-click the network adapter that is currently active, and then click Properties .

If the User Account Control prompt appears, click Yes or Continue .

In the Network Connection Properties window, under "This connection uses the following items", click Internet Protocol (TCP/IP) or Internet Protocol Version 4 (TCP/IPv4) .

Click Properties .

In the Internet Protocol (TCP/IP) Properties window, on the General tab, check the DNS server settings.

• If Use the following DNS server addresses radio button is selected, check the server addresses. Make sure that the DNS server addresses displayed are the same that are provided to you by your Internet service provider or your network administrator.

  If the DNS server address starts with 85.255.11x.x, then it is more likely that the DNS cache has been poisoned as the result of a Pharming attack.

Fix incorrect Windows host file settings

Press the Windows + R keys to open the Run dialog box.

Type in the following text, and then press Enter .

C:\Windows\System32\Drivers\etc

Replace the drive letter if C : drive is not the system drive.

For each Hosts file that you find, right-click the file, and then click Open With or Open .

Double-click Notepad from the list of programs.

Remove any line that appears in your hosts file without an # at the beginning, apart from the "127.0.0.1 localhost" line.

On the File menu, select Save .

Check if you can access the Internet.

Fix incorrect proxy settings

If you have not configured your computer to use proxy for the Internet connection, you can skip this Step.

Start Internet Explorer.

On the Tools menu, select Internet Options .

On the Connections tab, click LAN Settings .

Verify that your proxy settings are correct. Do one of the following:

If the proxy settings are incorrect, make sure that you enter the correct proxy settings.

If the proxy settings are correct, temporarily disable the proxy. Uncheck Use a proxy server for your LAN.

In the Internet Options window, click Apply > OK .

Uninstall or disable unknown toolbars

If you want to completely remove a toolbar, you can use Add/Remove Programs or Uninstall a Program in the Control Panel.

Start Internet Explorer.

On the Tools menu, click Manage Add-ons .

If you find any unknown toolbar that is listed, select the toolbar, and then click Disable .

Click Close .

If the issue persists, go to Step 5.

Run a scan using Norton Power Eraser

Save the file to Windows desktop.

Open the windows run dialog (Windows key+R).

Drag and drop NPE.exe into the run box, this will automatically populate it with the full path Add the following switch to the end of the line:

The run line should look like:

"C:\Documents and Settings\user_name\Desktop\NPE.exe" /VSS 111

Click OK .

1. If the scan comes clean, go to Step 6.

• пользователи жалуются на то, что веб-сайт блокируется браузером и/или программами
• веб-сайт внесён в чёрный список Google или в другую базу вредоносных URL-адресов
• произошли серьёзные изменения в объёме трафика и/или в рейтингах поисковых систем
• веб-сайт не работает как следует, выдаёт ошибки и предупреждения
• после посещения веб-сайта компьютер ведёт себя странно.

Зачастую вредоносный код остаётся незамеченным в течение долгого времени, особенно в случае заражения очень сложными зловредами. Такое вредоносное ПО обычно сильно обфусцировано, чтобы ввести в заблуждение и администраторов веб-сайтов, и антивирусные программы; оно всё время меняет доменные имена, на которые перенаправляет пользователей, обходя таким образом чёрные списки. Если нет ни одного из приведенных симптомов, это хороший показатель чистоты вашего сервера, хотя, увы, не 100%-ный; поэтому, оставайтесь бдительными к любой подозрительной активности.

Самым очевидным признаком заражения любым вредоносным ПО является присутствие вредоносного/подозрительного кода в одном или нескольких файлах - преимущественно в формате HTML, PHP или JS, а с некоторых пор и ASP/ASPX. Этот код найти нелегко, требуется владение по меньшей мере основами программирования и разработки веб-сайтов. Для того чтобы читатель лучше понял, как выглядит вредоносный код, мы приводим несколько примеров самого обычного заражения веб-страниц.

Пример 1: простая переадресация

Самым старым и самым простым методом, используемым киберпреступниками, является добавление простого HTML iframe-тега в код HTML-файлов на сервере. Адрес, используемый для загрузки вредоносного веб-сайта в IFrame, указан в качестве атрибута SRC; атрибут VISIBILITY со значением “hidden” делает фрейм невидимым для пользователя, посещающего веб-сайт.

Рисунок 1: Вредоносный IFrame внутри HTML-кода веб-сайта

Другой метод выполнения вредоносного скрипта в браузере пользователя - это внедрение ссылки на этот скрипт в HTML-файл в качестве атрибута src в тегах script или img:

Рисунок 2: Примеры вредоносных ссылок

Последнее время все чаще встречаются случаи, когда вредоносный код динамически генерируется и внедряется в HTML-код вредоносными JS- или PHP-скриптами. В таких случаях код видим только в представлении исходного кода страницы из браузера, но не в физических файлах на сервере. Киберпреступники могут дополнительно определять условия, когда вредоносный код должен генерироваться: например, только когда пользователь перешёл на сайт с определённых поисковых систем или открыл веб-сайт в конкретном браузере.

Чтобы обмануть и владельца веб-сайта, и антивирусное ПО, а также затруднить вредоносного кода, киберпреступники используют разнообразные методы обфускации кода.

Пример 2: «Ошибка 404: страница не найдена»

В этом примере вредоносный код внедряется в шаблон сообщения, которое выводится, когда указанный объект не был найден на сервере (всем известная «ошибка 404»). Кроме того, в файлы index.html / index.php внедряется ссылка на какой-либо несуществующий элемент, чтобы незаметно вызывать эту ошибку при каждом посещении пользователем заражённой веб-страницы. Этот метод может спровоцировать некоторую неразбериху: человек, ответственный за веб-сайт, получает сообщение, что некое антивирусное решение пометило веб-сайт как заражённый; после поверхностной проверки оказывается, что вредоносный код был найден в объекте, которого по всей видимости не существует; это приводит к соблазну предположить (ошибочно), что это была ложная тревога.

Рисунок 3. Trojan.JS.Iframe.zs - вредоносный скрипт в шаблоне сообщения об ошибке 404

В этом конкретном случае вредоносный код был обфусцирован. После деобфускации можем видеть, что целью скрипта является внедрение тэга IFRAME, который будет использован для перенаправления пользователей на вредоносный URL-адрес.

Рисунок 4. Trojan.JS.Iframe.zs - вредоносный код после деобфускации

Пример 3: выборочное внедрение вредоносного кода

Аналогичный код может генерироваться и присоединяться динамически (т.е. в зависимости от конкретных условий) ко всем HTML-файлам, расположенным на сервере, используя вредоносный PHP-скрипт, загруженный на тот же сервер. Скрипт, показанный в следующем примере, проверяет параметр UserAgent (который отсылается браузером пользователя, а также поисковыми ботами) и не добавляет вредоносный код, если веб-сайт сканируется ботом или если посетители сайта пользуются браузерами Opera, или Safari. Таким образом, пользователи браузеров, неуязвимых к конкретному эксплойту, используемому для атаки, не будут перенаправляться на этот эксплойт. Также стоит заметить, что комментарии в коде намеренно вводят в заблуждение, наводя на мысль о том, что данный скрипт имеет какое-то отношение к статистике бота.

Рисунок 5. Trojan.PHP.Iframer.e - код, заражающий PHP-скрипт

Этот метод может также использоваться в обратном направлении: киберпреступники могут внедрять ссылки, ведущие к нелегальному, сомнительному или вредоносному контенту (спаму, шпионскому ПО, ПО, фишинговым ресурсам) только если на веб-сайт зашёл поисковый бот. Целью такой атаки является так называемая чёрная оптимизация - механизм поднятия позиции киберкриминального ресурса в поисковой выдаче. Такое вредоносное ПО обычно направлено на популярные веб-порталы с высоким рейтингом, и его довольно сложно обнаружить, поскольку вредоносный код никогда не показывается обычному пользователю. В результате вредоносные веб-сайты получают высокий рейтинг в поисковых системах и оказываются в верхних строчках поисковой выдачи.

Пример 4: хитрая обфускация

Заражающие PHP-скрипты могут также принимать другие формы. Ниже даются два примера, обнаруженные несколько месяцев назад.

Рисунок 6. Trojan-Downloader.PHP.KScript.a -заражающий PHP-скрипт

Рис 12. Trojan-Downloader.JS.Twetti.t - вредоносный код, внедряемый в JS-файлы

Наконец, известен случай массового заражения зловредом, при котором используются случайные доменные имена. В случае заражения этим зловредом вы можете обнаружить на своём веб-сайте следующий код:

Рис 13. Обфусцированная версия кода, который перенаправляет на сгенерированный случайным образом домен

Пример 6: «gootkit» и обфускация файла целиком

Обфусцированный вредоносный код легко обнаружить среди остального чистого кода, и поэтому недавно киберпреступникам в голову пришла идея обфусцировать содержимое файла целиком , делая таким образом нечитабельным как внедренный, так и легитимный код. Отделить легитимный код от вредоносного невозможно, и вылечить файл можно только после его дешифровки.

Рис. 14. Файл, обфусцированный зловредом “gootkit”

Избавиться от первого уровня обфускации несложно, для этого нужно просто поменять функцию eval() на alert() - или print() в случае с консолью - и запустить ее на исполнение. Второй уровень несколько сложнее: в данном случае доменное имя используется в качестве ключа для шифрования кода.

Рис. 15: «gootkit» - второй уровень обфускации

После дешифровки можно видеть вредоносный код, идущий за оригинальным содержимым файла:

Рис. 16: «gootkit» - деобфусцированный код

Иногда вредоносная часть оказывается второй версией вредоносных программ, о которых шла речь в предыдущем примере, и используется для генерации псевдослучайного доменного имени для переадресации.

Пример 7: .htaccess

Вместо заражения скриптов и HTML-кода киберпреступники могут использовать возможности некоторых файлов, например.htaccess. В таких файлах администратор может определять права доступа к определенным папкам на сервере, а также при определенных обстоятельствах перенаправлять пользователей на другие URL-адреса (например, в случае если пользователь заходит с браузера мобильного устройства, он перенаправляется на мобильную версию веб-сайта). Нетрудно догадаться, каким образом киберпреступники используют подобный функционал...

Рис. 17: вредоносный.htaccess

В приведенном выше примере все пользователи, оказавшиеся на этом веб-сайте, пройдя по ссылке в большинстве крупных поисковых систем (параметр HTTP_REFERER), перенаправляются на вредоносную URL-ссылку. Помимо этого, в этом файле.htaccess определено достаточно большое количество браузеров и ботов, для которых перенаправление не производится (параметр HTTP_USER_AGENT). Перенаправление не происходит также в случае, если веб-страница читается из кеша (referer == cache) или загружается повторно с того же компьютера (параметр cookie).

Подобные зловреды позволяют проводить и более избирательные заражения - например, могут быть исключены конкретные IP-адреса, и при просмотре веб-сайтов из определенного диапазона IP-адресов - например, принадлежащих компании по информационной безопасности - выдача вредоносных результатов отсутствует.

Векторы атак и технологии заражения

Независимо от используемых технологий, киберпреступникам необходимо найти способ доставки вредоносных файлов на сервер или модификации файлов, уже существующих на сервере. Наиболее примитивным методом получения доступа к серверу является взлом пароля доступа. Для этого киберпреступники могут использовать так называемую атаку методом перебора или ее ограниченную версию - атаку «перебора по » (словарную атаку). Такая тактика обычно требует большого количества времени и ресурсов, поэтому редко используется при массовых заражениях веб-сайтов. Среди более популярных сценариев - эксплуатация уязвимостей и вредоносное ПО для кражи паролей.

Использование уязвимостей системы управления контентом/ системы электронной коммерции

Большинство современных платформ управления веб-контентом (такие как система управления контентом (CMS), электронная коммерция, панели управления и т.д.) неидеальны и имеют уязвимости, позволяющие другим лицам без аутентификации загружать файлы на сервер. И хотя поиск таких уязвимостей разработчики ведут постоянно, выпуск патчей занимает большое количество времени; помимо этого, многие пользователи продолжают использовать старые версии программ с большим количеством ошибок. Чаще всего уязвимости находят, естественно, в самых популярных платформах, таких как WordPress, Joomla и osCommerce.

Известный пример такой уязвимости - TimThumb, которая широко использовалась киберпреступниками в разнообразных сценариях drive-by загрузки. TimThumb - PHP-модуль для изменения размера изображений и создания так называемых графических миниатюр, включенный в большинство CMS-шаблонов, находящихся в открытом доступе. Уязвимость позволяет записывать файлы, находящиеся на удаленной машине, на сервер, в директорию для кеша. Еще один пример - уязвимость SQL injection в Plesk Panel (версии 10 и старше), обнаруженная в феврале 2012 года, позволяющая читать базы данных и красть пароли, которые - до недавнего времени - хранились в явном виде. Полученные таким образом регистрационные данные, вероятно, использовались при недавней массовой веб-эпидемии http://www.securelist.com/en/blog/208193624/Who_is_attacking_me ; https://www.securelist.com/ru/blog/208193713/RunForestRun_gootkit_i_generirovanie_sluchaynykh_domennykh_imen .

Использование шпионского ПО для кражи учетных данных для доступа к серверу по FTP

В наиболее распространенных веб-заражениях (например, Gumblar и Pegel) успешным оказался другой метод. На первом этапе киберпреступники распространяют вредоносные программы, разработанные специально для поиска и кражи имен пользователей и паролей к FTP-аккаунтам посредством проверки настроек FTP-клиентов или сканирования сетевого трафика. После нахождения зловредом этих регистрационных данных на зараженном компьютере администратора сайта программа устанавливает соединение с FTP-сервером и загружает вредоносные скрипты или записывает вместо оригинальных файлов их зараженные версии. Само собой разумеется, что до тех пор пока компьютер владельца аккаунта заражен, файлы, хранящиеся на сервере, будут снова и снова заражаться даже после смены регистрационных данных и восстановления всего контента из чистой резервной копии.

Цели киберпреступников

Какова цель заражения веб-сайтов?

• переадресация пользователей на эксплойты для незаметной установки вредоносных программ на их компьютерах;
• переадресация пользователей на спам, фишинговый и другой вредоносный, нелегальный или нежелательный контент;
• перехват/кража посещений сайта / поисковых запросов.
• продвижение вредоносных/нелегальных веб-сайтов и веб-сайтов, содержащих спам (черная оптимизация);
• использование ресурсов сервера для нелегальной активности.

По сути здесь нет ничего нового: при заражении веб-сайтов киберпреступниками движет стремление получить непрямую прибыль.

Методы устранения вредоносного кода

Что делать, если ваш сайт атаковали хакеры?

Во-первых, если вы наблюдаете симптомы, которые говорят о возможном заражении, необходимо незамедлительно деактивировать веб-сайт до устранения проблемы. Это действительно исключительно важно, поскольку каждый момент промедления играет на руку киберпреступникам, позволяя заразить еще больше компьютеров и распространить заражение по всему . Следует проверить журналы сервера на наличие подозрительной активности, например странные запросы с IP-адресов, находящихся в странах, нехарактерных для посетителей сайта, и т.п. - это может быть полезно для обнаружения зараженных файлов и определения, как именно киберпреступники получили доступ к серверу.

Но каким же образом бороться с вредоносным кодом?

Резервная копия

Самый быстрый и надежный способ восстановления всего содержимого сервера - с использованием чистой резервной копии. Чтобы сделать это эффективно, необходимо также произвести полную переустановку ПО, работающего на сервере (системы управления контентом / CMF, системы электронной коммерции и т.п.). Разумеется, для этого необходимо использовать самые последние, полностью обновленные версии. После этих действий на сервере не должно остаться никаких зараженных файлов - при условии, что вы стерли все содержимое перед восстановлением, а резервная копия была создана еще до начала атаки.

Автоматическая проверка

Если чистая резервная копия отсутствует, вам ничего не остается как начать бороться с вредоносным ПО. К счастью, существует ряд автоматизированных решений, которые помогут отыскать вредоносный код - включая антивирусные продукты и онлайн-сканеры веб-сайтов, например http://sucuri.net/. Ни одно из них не является идеальным, но в случае с хорошо известным/обычным вредоносным ПО все они могут быть весьма полезными. Начнем с того, что можно проверить веб-сайт при помощи нескольких онлайн-сканеров. Некоторые из них не только определят, действительно ли ваш сайт заражен, но и укажут на вредоносный код в ваших файлах. Затем можно произвести полную антивирусную проверку всех файлов на сервере.

Если вы владелец сервера или если на сервере работает защитное решение, на использование которого у вас есть права, вы можете выполнить проверку на стороне сервера. Убедитесь в том, что вы создали копию ваших файлов, так как некоторые антивирусные сканеры не лечат зараженные файлы, а удаляют их! Можно также загрузить содержимое вашего сервера на локальный компьютер и осуществить его проверку при помощи антивирусного решения для стационарного компьютера. Второй вариант предпочтительней, поскольку в составе большинства современных антивирусных программ для стационарных компьютеров есть хорошо развитый эвристический модуль. Вредоносные программы, поражающие веб-сайты, в высшей степени полиморфны: и если при борьбе с ним сигнатурный анализ практически бесполезен, эвристика позволяет их с легкостью детектировать.

Удаление вручную

Если автоматическая проверка не дала результатов и сообщения о заражении вашего сайта поступают по-прежнему, единственный способ избавиться от зловреда - найти его вручную и удалить весь вредоносный код. Эта непростая задача может занять значительное количество времени, поскольку необходимо проверить каждый файл - будь то HTML, JS, PHP или файл конфигурации - на наличие вредоносных скриптов. Примеры, приведенные выше, - всего лишь небольшая часть разнообразных зловредов для веб-сайтов, поэтому высока вероятность того, что вредоносный код на вашем сайте будет частично или полностью отличаться от этих образцов. И тем не менее большинство современных вредоносных программ для веб-сайтов имеют некоторые общие черты, и эти черты помогут в определении проблемы.

Более всего необходимо уделить внимание тем частям кода, которые выглядят неясными или нечитаемыми. Обфускация кода - технология, часто используемая , - довольно необычна для любого другого ПО, связанного с веб-сайтами. Если вы не обфусцировали код сами, у вас есть все основания иметь относительно него подозрения. Но будьте аккуратны - вредоносным окажется не весь обфусцированный код!

Аналогичным образом, не любой вредоносный скрипт обфусцирован, поэтому имеет смысл искать теги IFRAME в явном виде и другие ссылки на внешние ресурсы во всех ваших файлах. Некоторые из них могут иметь отношение к рекламным объявлениям и статистике, но не попадитесь на удочку специально сформированных URL, которые могут сбивать с толку, имея вид адресов известных и доверенных порталов. Не забывайте проверять код шаблонных сообщений об ошибках, а также все файлы.htaccess.

Полезными инструментами для поиска вредоносного кода на сервере, несомненно, являются grep и find - утилиты, работающие в режиме командной строки, по умолчанию включаемые практически во все системы на основе Unix. Ниже приведены примеры их использования в диагностике наиболее распространенных заражений:

grep -iRs “iframe” *
grep -iRs “eval” *
grep -iRs “unescape” *
grep -iRs “base64_decode” *
grep -iRs “var div_colors” *
grep -iRs “var _0x” *
grep -iRs “CoreLibrariesHandler” *
grep -iRs “pingnow” *
grep -iRs “serchbot” *
grep -iRs “km0ae9gr6m” *
grep -iRs “c3284d” *
find . -iname “upd.php”
find . -iname “*timthumb*”

Описание grep (из руководства Linux): печать строк, соответствующих шаблону; опция -i означает игнорировать регистр; -R означает рекурсивный поиск, а -s предотвращает показ сообщений об ошибках. Первая из перечисленных команд ищет в файлах тэги IFRAME; три остальные ищут наиболее явные признаки обфускации; остальные ищут особые строки, связанные с крупнейшими известными заражениями веб-сайтов.

Что касается find, в руководстве Linux указано: поиск файлов в иерархической структуре папок; «.» (точка) указывает на текущую директорию (так что запускать данные команды следует из корневой директории или домашнего (home) каталога на сервере), параметр -iname определяет файл, который следует искать. Можно использовать регулярные выражения для поиска всех файлов, соответствующих неким критериям.

Разумеется, всегда нужно знать, что именно искать - не все результаты будут указывать на заражение. Неплохо проверить подозрительные части кода антивирусным сканером или попробовать поискать их в google. Очень вероятно, что вы найдете некоторые ответы - как для вредоносного, так и для чистого кода. Если вы по-прежнему не уверены, заражен ли файл, лучше всего деактивировать веб-сайт (на всякий случай) и до принятия каких-либо действий обратиться за советом к специалисту.

Очень важно!

Помимо очистки файлов на сервере необходимо обязательно произвести полную антивирусную проверку всех компьютеров, используемых для загрузки и управления контентом на сервере и сменить все данные для доступа ко всем аккаунтам на сервере (FTP, SSH, панели управления и т.д.), которые вы поддерживаете.

Основы безопасности для веб-сайтов

К сожалению, в большинстве случаев удаления вредоносного кода недостаточно для того, чтобы избавиться от заражения раз и навсегда. Если ваш веб-сайт заражен, возможно, это говорит о существовании уязвимостей, которые позволили киберпреступникам внедрить вредоносные скрипты на сервер; и если вы оставите без внимания эту проблему, в ближайшем будущем вас ждут новые заражения. Чтобы это предотвратить, необходимо принять соответствующие меры для защиты сервера и компьютера/компьютеров, используемых для администрирования сервера.

• Использование стойких паролей. Несмотря на тривиальность этого совета, это действительно основа безопасности сервера. Необходимо не только менять пароли после каждого инцидента и/или атаки на сервер - они должны меняться на регулярной основе, например ежемесячно. Хороший пароль должен соответствовать особым критериям, о которых можно узнать на www.kaspersky.com/passwords ;
• Регулярное обновление. Необходимо также не забывать о регулярных обновлениях. Киберпреступники часто эксплуатируют уязвимости в ПО независимо от цели вредоносной программы - направлена ли она на пользователей ПК или на веб-сайты. Все программы, с помощью которых вы управляете вашим сервером / контентом сайта, должны быть самых последних версий, а каждое обновление безопасности должно устанавливаться сразу же по его выходе. Использование актуальных версий ПО и своевременная установка всех необходимых патчей поможет снизить риск атаки с использованием эксплойтов. Регулярно обновляемый список известных уязвимостей можно найти на сайте http://cve.mitre.org/ ;
• Регулярное создание резервных копий. Имея в запасе чистую копию серверного контента, вы сэкономите массу времени и усилий, не говоря о том, что свежие резервные копии могут, помимо лечения заражения, оказаться очень полезны и в решении других проблем;
• Регулярная проверка файлов. Даже при отсутствии явных симптомов заражения рекомендуется периодическое сканирование всех файлов на сервере на предмет выявления вредоносного кода;
• Обеспечение безопасности ПК. Поскольку значительное количество вредоносного ПО для веб-сайтов распространяется через заражённые ПК, безопасность стационарного компьютера, используемого для управления вашим веб-сайтом, является одним из приоритетных аспектов безопасности веб-сайта. Непрерывная поддержка чистоты и безопасности вашего компьютера существенно увеличивает вероятность того, что ваш веб-сайт также будет в безопасности и защищен от вирусов.
• Обязательными (но не достаточными) должны быть следующие действия:
  • удаление неиспользуемых программ;
  • деактивация ненужных сервисов и модулей;
  • настройка соответствующих политик для отдельных пользователей и групп пользователей;
  • установка адекватных прав доступа к определенным файлам и директориям;
  • отключение показа файлов и каталогов веб-сервера;
  • ведение журналов событий, регулярно проверяемых на наличие подозрительной активности;
  • использование шифрования и безопасных протоколов.

Вредоносное ПО, предназначенное для заражения веб-сайтов, может стать настоящим кошмаром для веб-администраторов и интернет-пользователей. Киберпреступники непрерывно развивают свои технологии, открывая новые эксплойты. Зловреды стремительно распространяются через интернет, поражая серверы и рабочие станции. Справедливо сказать, что надежного способа полностью устранить данную угрозу не существует. Однако каждый владелец веб-сайта и каждый интернет-пользователь может сделать интернет безопаснее, соблюдая основные правила безопасности и постоянно поддерживая безопасность и чистоту своих веб-сайтов и компьютеров.

Оставьте свой комментарий!

В настоящее время большинство компьютерных атак происходит при посещении вредоносных веб-страниц. Пользователь может быть введен в заблуждение, предоставляя конфиденциальные данные фишинг-сайту или стать жертвой атаки drive-by download, использующую браузерные уязвимости. Таким образом, современный антивирус должен обеспечивать защиту не только непосредственно от вредоносного ПО, но и от опасных веб-ресурсов.

Антивирусные решения используют различные методы для выявления сайтов с вредоносным ПО: сравнение базы данных сигнатур и эвристический анализ. Сигнатуры используются для точного определения известных угроз, в то время как эвристический анализ определяет вероятность опасного поведения. Использование базы вирусов является более надежным методом, обеспечивающим минимальное количество ложных срабатываний. Однако данный метод не позволяет обнаруживать неизвестные новейшие угрозы.

Появившаяся угроза сначала должна быть обнаружена и проанализирована сотрудниками лаборатории антивирусного вендора. На основании анализа создается соответствующая сигнатура, которая может быть использована для нахождения вредоносного ПО. Напротив, эвристический метод применяется для выявления неизвестных угроз на основании подозрительных поведенческих факторов. Данный способ оценивает вероятность опасности, поэтому возможны ложные срабатывания.

При обнаружении вредоносных ссылок оба метода могут работать одновременно. Чтобы добавить опасный ресурс в список запрещенных сайтов (blacklist) необходимо провести анализ, загрузив содержимое и просканировав его при помощи антивируса или системы обнаружения вторжений (Intrusion Detection System).

Ниже представлен лог событий системы Suricata IDS при блокировании эксплойтов:

Пример отчета системы IDS с указанием угроз, определенных с помощью сигнатур:

Пример предупреждения антивируса Ad–Aware при посещении вредоносного сайта:

Эвристический анализ выполняется на клиентской стороне для проверки посещаемых сайтов. Специально разработанные алгоритмы предупреждают пользователя в случае, если посещаемый ресурс отвечает опасным или подозрительным характеристикам. Данные алгоритмы могут быть построены на лексическом анализе контента или на оценки расположения ресурса. Лексическая модель определения используется для предупреждения пользователя при фишинг-атаках. Например URL адрес вида “http://paaypall.5gbfree.com/index.php ” или “http://paypal-intern.de/secure/ ” легко определяются как фишинг-копии известной платежной системы “paypal”.

Анализ размещения ресурса собирает информацию о хостинге и о доменном имени. На основании полученных данных специализированный алгоритм определяет степень опасности сайта. Эти данные обычно включают географические данные, информацию о регистраторе и о лице, зарегистрировавшем домен.

Ниже представлен пример размещения нескольких фишинг-сайтов на одном IP-адресе:

В конечном счете, несмотря на множество способов оценки сайтов, ни она методика не может дать 100%-ной гарантии защиты Вашей системы. Только совместное использование нескольких технологии компьютерной безопасности позволяет дать определенную уверенность в защите персональных данных.

Распространение вредоносного ПО через веб-сайты

Костин Раю, Лаборатория Касперского

Вступление. Киберпреступность: тенденции и развитие

За последние несколько лет интернет стал опасным местом. Изначально созданный для сравнительно небольшого количества пользователей, он значительно превзошел ожидания своих создателей. Сегодня в мире насчитывается более 1,5 миллиардов интернет-пользователей и их число постоянно растет по мере того, как технология становится все более доступной.

Преступники тоже заметили эту тенденцию и очень быстро поняли, что совершение преступлений с помощью интернета (теперь это получило название киберпреступления) имеет ряд существенных преимуществ.

Во-первых, киберпреступность не связана с большим риском: поскольку она не имеет геополитических барьеров, правоохранительным органам трудно ловить преступников. Более того, проведение международных расследований и ведение судебных дел стоит больших денег, поэтому такие действия, как правило, предпринимаются только в особых случаях. Во-вторых, киберпреступность - это просто: в интернете предлагается огромное количество «инструкций» по взлому компьютеров и написанию вирусов, при этом каких-либо специальных знаний и опыта не требуется. Вот два основных фактора, превратившие киберпреступность в индустрию, обороты которой исчисляются многими миллиардами долларов и которая представляет собой действительно замкнутую экосистему.

И компании, занимающиеся защитой информации, и производители программного обеспечения ведут постоянную борьбу с киберпреступностью. Их цель – обеспечить интернет-пользователям надежную защиту и создать безопасное программное обеспечение. Злоумышленники в свою очередь постоянно меняют тактику для того, чтобы противодействовать принимаемым контрмерам, что в результате привело к появлению двух выраженных тенденций.

Во-первых, размещение вредоносных программ происходит с использованием zero-day уязвимостей, т.е. уязвимостей, для которых еще не созданы патчи. С помощью таких уязвимостей могут быть заражены даже такие компьютерные системы, на которых установлены все последние обновления, но при этом нет специальных защитных решений. Zero-day уязвимости – ценный товар (их использование потенциально может привести к серьезным последствиям), он продается на черном рынке за десятки тысяч долларов.

Во-вторых, мы наблюдаем резкое увеличение количества вредоносных программ, созданных специально для кражи конфиденциальной информации с целью ее дальнейшей продажи на черном рынке: номеров кредитных карт, банковских реквизитов, паролей доступа на такие сайты, как eBay или PayPal, и даже паролей к онлайн-играм, например, к World of Warcraft.

Одной из очевидных причин такого размаха киберпреступности является ее прибыльность, которая всегда будет являться двигателем в создании новых киберпреступных технологий.

Помимо разработок, которые проводятся для нужд киберпреступников, отметим еще одну тенденцию – распространение вредоносных программ через Всемирную Паутину. После эпидемий начала нынешнего десятилетия, вызванных такими почтовыми червями, как Melissa, многие компании – производители систем информационной защиты сосредоточили свои усилия на разработке решений, которые могли бы нейтрализовать вредоносные вложения. Иногда это приводило к тому, что в сообщениях удалялись все исполняемые вложения.

Однако последнее время основным источником распространения вредоносных программ стала Сеть. Вредоносные программы размещают на веб-сайтах, а затем либо пользователей обманным путем заставляют вручную запускать их, либо эти программы с помощью эксплойтов автоматически исполняются на зараженных компьютерах.

Мы в «Лаборатории Касперского» с растущей тревогой наблюдаем за происходящим.

Статистика

Последние три года мы наблюдали за так называемыми чистыми веб-сайтами (от 100 000 до 300 000), чтобы определить, в какой момент они становились точками распространения вредоносных программ. Количество отслеживаемых сайтов постоянно росло по мере регистрации новых доменов.

В таблице приведен зарегистрированный максимальный показатель зараженности веб-страниц, отслеживаемых в течение года. Очевидно резкое увеличение доли зараженных сайтов: если в 2006 году был заражен примерно каждый сайт из двадцати тысяч, то в 2009 году оказался зараженным уже каждый сайт из ста пятидесяти. Процент зараженных сайтов колеблется в районе этой последней цифры, что может означать достижение точки насыщения: все веб-сайты, которые могли быть инфицированы, были инфицированы. Однако их число возрастает или снижается по мере обнаружения новых уязвимостей или появления новых инструментов, которые позволяют злоумышленникам заражать новые веб-сайты.

В следующих двух таблицах приведены данные по вредоносным программам, которые наиболее часто встречались на сайтах в 2008 и 2009 годах.

10 лидирующих вредоносных программ – 2008 год

10 лидирующих вредоносных программ – 2009 год

В 2008 году троянская программа Trojan-Clicker.JS.Agent.h была обнаружена в большом количестве случаев. За ней с отрывом менее 1% следует Trojan-Downloader.JS.Iframe.oj.

Страница, зараженная Trojan-Clicker.JS.Agent.h

Раскодированный троянец Trojan-Clicker.JS.Agent.h

Trojan-Clicker.JS.Agent.h – это типичный пример механизма, который использовался в 2008 году и все еще используется (в 2009 году) для внедрения вредоносного кода. На страницу добавляется небольшой фрагмент JavaScript кода, который обычно подвергается обфускации для того, чтобы затруднить анализ. В коде, приведенном на рисунке выше, обфускация просто состоит в подмене ASCII-символов, составляющих вредоносный код, их hex-кодами. После расшифровки код, как правило, представляет собой плавающий фрейм (iframe), ведущий на сайт, на котором находятся эксплойты. IP-адрес, на который ведет ссылка, может меняться, поскольку эксплойты размещаются на множестве различных сайтов. На главной странице вредоносного сайта обычно находятся эксплойты для IE, Firefox и Opera. Похожим образом действует и Trojan-Downloader.JS.Iframe.oj – вторая по частоте использования вредоносная программа.

В 2009 году было два интересных случая, когда зловредные программы распространялись через веб-страницы. В первом случае речь идет о зловреде Net-Worm.JS.Aspxor.a, впервые обнаруженном в июле 2008 года и широко распространившемся в 2009 году. Этот зловред при помощи специальной утилиты находит SQL-уязвимости на веб-сайтах, через которые внедряет вредоносные плавающие фреймы.

Другой интересный случай представляет собой вредоносная программа Gumblar. Она была названа по имени китайского домена, который использовала для распространения эксплойтов. Строка “gumblar” в подвергшемся обфускации коде JavaScript, «подброшенном» на веб-сайт, является верным признаком того, что сайт заражен.

Пример внедрения кода Gumblar в страницу веб-сайта

После деобфускации вредоносный код Gumblar выглядит следующим образом:

Декодированный код Gumblar

Домен “gumblar.cn” был закрыт, что, впрочем, не помешало киберпреступникам продолжить вредоносные атаки с новых доменов.

Способы заражения и методы распространения

В настоящее время существует три основных способа заражения сайтов вредоносными программами.

Первый популярный метод – использование уязвимостей самого веб-сайта. Например, внедрение SQL-кода, что позволяет добавить на страницы сайта вредоносный код. Инструменты атаки, такие как троянец ASPXor, наглядно демонстрируют механизм работы этого метода: их можно использовать для массового сканирования и внедрения вредоносного кода по тысячам IP-адресов одновременно. Следы таких атак часто можно видеть в журналах доступа веб-серверов.

Второй метод предполагает заражение компьютера разработчика веб-сайтов вредоносной программой, которая отслеживает создание и загрузку HTML-файлов, а затем внедряет в эти файлы вредоносный код.

Наконец, еще один метод – это заражение троянцем, ворующим пароли (таким как Ransom.Win32.Agent.ey) компьютера разработчика веб-сайтов или другого человека с доступом к учетной записи хостинга. Такой троянец обычно обращается к серверу по HTTP, чтобы передать пароли к учетным записям FTP, которые он собирает из популярных ftp-клиентов, таких как FileZilla и CuteFtp. Компонент вредоносной программы, находящийся на сервере, записывает полученную информацию в базу данных SQL. Затем специальная программа, также находящаяся на сервере, выполняет процедуру входа во все учетные записи FTP, извлекает индексную страницу, добавляет туда код, зараженный троянцем, и загружает страницу обратно.

Поскольку в последнем случае данные учетной записи у хостинг-провайдера становятся известны злоумышленникам, то часто происходят повторные заражения сайтов: разработчики веб-страниц замечают заражение сами или узнают о нем от посетителей сайта, очищают страницу от вредоносного кода, а на следующий день страница вновь оказывается зараженной.

Пример повторного заражения веб-страницы (*.*.148.240)

Другая часто встречающаяся ситуация – когда информация об одной и той же уязвимости или данные учетной записи на хостинге одновременно попадают в руки разных кибергруппировок, между которыми начинается борьба: каждая группа стремится заразить веб-сайт своей вредоносной программой. Вот пример такой ситуации:

Пример многократного заражения веб-сайта (*.*.176.6) разными вредоносными программами

11.06.2009 веб-сайт, за которым мы наблюдали, был чист. 05.07.2009 происходит заражение вредоносной программой Trojan-Clicker.JS.Agent.gk. 15.07.2009 веб-сайт оказывается зараженным другим зловредом, Trojan-Downloader.JS.Iframe.bin. Через десять дней, сайт заражен еще одной программой.

Такая ситуация встречается довольно часто: веб-сайты могут быть заражены одновременно разными вредоносными программами, код которых размещается один за другим. Такое происходит, когда данные доступа попадают в руки разных кибергруппировок.

Ниже приводится последовательность действий, которые необходимо совершить в случае, если веб-сайт заражен вредоносным кодом:

• Установить, кто имеет доступ на хостинг-сервер. Запустить проверку их компьютеров программой интернет-безопасности с актуальной базой данных. Удалить все обнаруженные вредоносные программы
• Установить новый надежный хостинг-пароль. Надежный пароль должен состоять из символов, цифр и спецсимволов, чтобы усложнить его подбор
• Заменить все зараженные файлы чистыми копиями
• Найти все резервные копии, которые могут содержать зараженные файлы, и вылечить их

Наш опыт показывает, что зараженные веб-сайты после лечения нередко подвергаются повторному заражению. С другой стороны, обычно это происходит лишь один раз: если после первого заражения веб-мастер может ограничиться относительно поверхностными действиями, в случае повторного заражения он обычно принимает более серьезные меры по обеспечению безопасности сайта.

Эволюция: размещение вредоносных программ на «чистых» веб-сайтах

Пару лет назад, когда киберпреступники стали активно использовать web для размещения вредоносных программ, они как правило действовали через так называемый абузоустойчивый хостинг или через хостинг, где они расплачивались крадеными кредитными картами. Заметив эту тенденцию, компании, работающие в области интернет-безопасности, объединили свои усилия в борьбе против недобросовестных хостинг-провайдеров, допускающих размещение вредоносных ресурсов (таких, как американский хостинг-провайдер McColo и эстонский провайдер EstDomains. И хотя сегодня еще встречаются случаи, когда вредоносные программы размещаются именно на вредоносных сайтах, расположенных, например, в Китае, где закрыть сайт по-прежнему сложно, произошел важный поворот в сторону размещения вредоносных программ на «чистых» и вполне заслуживающих доверия доменах.

Действие и противодействие

Как мы уже говорили, одним из важнейших аспектов постоянной борьбы между киберпреступниками и производителями антивирусных решений является умение быстро реагировать на то, что делает противник. Обе стороны постоянно меняют тактику борьбы и вводят в строй новые технологии, стараясь противодействовать противнику.

Большинство веб-браузеров (Firefox 3.5, Chrome 2.0 и Internet Explorer 8.0) теперь имеют встроенную защиту в виде URL-фильтра. Этот фильтр не позволяет пользователю заходить на вредоносные сайты, содержащие эксплойты для известных или неизвестных уязвимостей, а также использующие методы социальной инженерии для кражи личных данных.

Например, Firefox и Chrome используют Google Safe Browsing API, бесплатный сервис от Google для фильтрации URL-адресов. В момент написания список Google Safe Browsing API содержал около 300 000 адресов известных вредоносных веб-сайтов и более 20 000 адресов веб-сайтов, занимающихся фишингом.

Google Safe Browsing API придерживается рационального подхода к фильтрации URL-адресов: вместо того чтобы отсылать каждый URL-адрес на внешний ресурс для проверки, как это делает фишинг-фильтр в Internet Explorer 8, Google Safe Browsing проверяет URL-адреса по их контрольным суммам, вычисленным по алгоритму MD5. Чтобы такой метод фильтрации был эффективным, список контрольных сумм вредоносных адресов должен регулярно обновляться; обновления рекомендуется выполнять каждые 30 минут. Недостаток этого метода заключается в следующем: количество вредоносных веб-сайтов больше, чем количество входов в списке. Для оптимизации размера списка (сейчас он составляет около 12 МБ), туда попадают только наиболее часто встречающиеся вредоносные сайты. Это означает, что даже если вы используете приложения, поддерживающие подобные технологии, ваш компьютер по-прежнему подвергается риску заражения при посещении вредоносных сайтов, не попавших в список. В общем и целом широкое применение технологий для безопасной навигации показывает, что разработчики веб-браузеров обратили внимание на новую тенденцию распространения зловредных программ через веб-сайты и предпринимают ответные действия. По сути, веб-браузеры со встроенной защитой уже становятся нормой.

Заключение

За последние три года резко увеличилось число легитимных веб-сайтов, зараженных вредоносными программами. Сегодня количество зараженных сайтов в интернете в сто раз больше, чем три года назад. Часто посещаемые сайты привлекательны для киберпреступников, поскольку с их помощью за короткое время можно заразить большое количество компьютеров.

Веб-мастерам можно предложить несколько простых советов по поводу того, как обезопасить веб-сайты:

• Защищайте учетные записи хостинга надежными паролями
• Для загрузки файлов на серверы используйте протоколы SCP/SSH/SFTP вместо FTP – таким образом вы защититесь от пересылки паролей по интернету открытым текстом
• Установите антивирусный продукт и запустите проверку компьютера
• Имейте в запасе несколько резервных копий сайта, чтобы иметь возможность восстановить его в случае заражения.

При навигации в интернете есть несколько факторов, увеличивающих риск заражения вредоносным кодом с веб-сайта: использование пиратского ПО, игнорирование обновлений, закрывающих уязвимости в используемом ПО, отсутствие на компьютере антивирусного решения и общее незнание или неполное понимание угроз в интернете.

Пиратские программы играют значительную роль в распространении вредоносных программ. Пиратские копии Microsoft Windows, как правило, не поддерживают автоматические обновления, выпускаемые компанией Microsoft,что дает киберпреступникам возможность эксплуатировать незакрытые уязвимости в этих продуктах.

Кроме того, старые версии Internet Explorer, по-прежнему самого популярного браузера, имеют большое количество уязвимостей. В большинстве случаев Internet Explorer 6.0 без установленных обновлений незащищен от вредоносного воздействия любого вредоносного веб-сайта. В силу этого, крайне важно избегать использования пиратского ПО, особенно пиратских копий Windows.

Еще один фактор риска – работа на компьютере без установленной антивирусной программы. Даже если в самой системе установлены последние обновления, в нее может проникнуть вредоносный код через zero-day уязвимости в стороннем ПО. Обновления антивирусных программ обычно выпускаются гораздо чаще, чем патчи к программным продуктам, и обеспечивают безопасность системы в период, когда к уязвимостям в стороннем ПО еще не выпущены исправления.

И хотя для поддержания необходимого уровня безопасности важна установка обновлений для программ, немаловажную роль играет и человеческий фактор. Например, пользователь может захотеть посмотреть «интересный видеоролик», загруженный из Сети, не подозревая, что вместо ролика ему подкинули вредоносную программу. Такая уловка нередко используется на вредоносных сайтах в случае, если эксплойтам не удается проникнуть в операционную систему. Этот пример показывает, почему пользователи должны знать, какую опасность представляют интернет-угрозы, особенно те, которые связаны с социальными сетями (Web 2.0), последнее время активно атакуемыми киберпреступниками.

• Не загружайте пиратские программы
• Вовремя обновляйте все ПО: операционную систему, веб-браузеры, программы для просмотра PDF-файлов, плееры и т.д.
• Установите и всегда используйте антивирусный продукт, такой как Kaspersky Internet Security 2010
• Возьмите за правило, чтобы ваши сотрудники каждый месяц уделяли несколько часов изучению веб-сайтов, посвященных безопасности, таких как www.viruslist.com , где они смогут узнать об интернет-угрозах и методах защиты.

Наконец, помните: предупредить заражение легче, чем вылечить. Принимайте меры безопасности!