Основные проблемы, которые активно эксплуатируются создателями вирусов для заражения сайтов:
1) Среда разработки веб-сайтов (здесь с подавляющим преимуществом
выигрывает операционная система Windows). Эта операционная система
редко или даже вообще не обновляется, открывая возможные пути для
проникновения вирусов в систему;
2) Некоторые оптимизаторы сайтов настолько считают себя компьютерными
гуру, что позволяют себе отключать или даже удалять антивирусные
пакеты, считая, что при появлении вируса они сами справятся с
проблемой, тем самым играя в игру "Не пойман – не вор";
3) Следующая проблема – "особые" программы, т. е. такие программы,
которые написаны неграмотными программистами или же программы, под
которые очень часто пишутся вирусные программы. Ко второй категории
программ можно отнести такие разработки как браузер Internet Explorer и
FTP-клиент TotalCommander. Именно "жезл" IE и сохранение паролей в TC
является одним из источников, в котором грамотно написанный сниффер
может найти любую интересующую его информацию – в том числе и пару
логин/пароль;
4) Использование "небезопасного кода" веб-приложений (движков).
Вирусописатели, обнаружив уязвимость движка на вашем сайте, могут
внедрять заражённый код на ваш сайт методом XSS (обычно через строку
бразуера, методом GET) и SQL-injection внедрение кода в базу данных
MySQL через специальные SQL-запросы к базе данных.
Принципы работы вируса, заражающего сайты
Как это не удивительно, но в подавляющем большинстве случаев
причиной заражения собственных сайтов становится сам оптимизатор сайта
или веб-мастер. Его халатность приводит к тому, что загруженный вирус
(это может быть троянский конь, сниффер и другие их разновидности),
который определённым образом крадёт данные об FTP-доступах на сайты
веб-мастера и отсылает их создателю вируса. Тот же, в свою очередь (сам
или посредством некоторых программ автоматически), через FTP-соединение
обновляет индексную страницу того сайта, пароль от которого он получил,
помещая на неё вирусный код, заражающий посетителей сайта таким же
вирусом или же другим (на усмотрение автора вируса) при просмотре
заражённого сайта. Почти всегда "первоначальный" вирус (тот, который
запускается браузером на заражённом сайте) загружает свой основной код
с сервера или же другой вирус.
Про вирусы, которые распространяются через всенародно любимые социальные сети "В Контакте", "Одноклассники" или Facebook
следует, конечно, тоже сказать пару слов. Подобные вирусы работают в
тесной связке с этими социальными сетями, т. к. их основная цель –
рассылать спам как можно большему числу её пользователей. Для этого
создаётся подставной сайт (обычно на бесплатном хостинге), в котором
находится фрейм (об этом ниже), подгружающий вирусный код, а
запустившийся вирус крадёт ваш cookies с серверов социальных сетей "Одноклассники", "В Контакте" или Facebook,
в котором содержится связка логин/пароль, с целью дальнейшей рассылки
спама (иногда и просто ссылок на заражённые сайты для распространения
вируса) от вашего имени вашим друзьям в этих социальных сетях.
Метод проверки сайта на наличие вируса:
Вирусы, распространяющиеся через сайты, очень часто создают фрейм,
через который подгружают вирусный код с другого сайта. Реализуется
подобный фрейм через HTML-тег <iframe>, в котором почти всегда содержится тег <script>,
содержащий ссылку на подгрузку скрита, написанного на языке Javascript
(часто сам URL в нём зашифрован). Бывает, что подобные сайты помечаются
поисковыми системами "Яндекс" и Google как потенциально опасные, таким
образом поисковые системы предупреждает об опасности, если таковые сайты попадут в результаты выдачи по поисковым запросам. Кроме этого, в Интернете существует возможность проверить любой сайт на вирусы в режиме онлайн 40 самыми известными антивирусами, установленными на удалённом компьютере: http://sitedrill.ru/.
Помимо этой информации рекомендую ознакомиться с перечнем известных на
сегодняшний день вирусов, заражающих сайты. Об этом чуть ниже.
Лечение сайта, заражённого вирусом
Для начала нужно просканировать операционную систему антивирусом с
обновлённой вирусной базой и дезактивировать найденный вирус, удалить с
сайта (обычно с индексного файла участки вирусного кода), затем сменить
пароли на ВСЕ (!) ваши FTP-серверы.
Перечень самых распространённых вирусов, заражающих сайты:
1) Червь Mal/IFrame (дата обнаружения: 16 апреля
2007 года) - это самый распространённый вирус, который лидирует среди
веб-угроз по всему Миру. Его доля встречаемости составляет более 50 %
случаев;
2) Червь Mal/ObfJS (дата обнаружения: 11
апреля 2007 года) занимает вторую строчку нашего «хит-парада». Его доля
более 19 %. Этот червь пытается загружать и устанавливать другие
вирусные коды из Интернета на ваш компьютер (впрочем, как и наш лидер);
3) Троян Troj/DRClick
(дата обнаружения: 23 ноября 2007 года) – более 14 % встречаемости.
Этот вирус контролирует активность браузера, автоматически открывает
некоторые веб-сайты;
4) Троян Troj/Unif (дата
обнаружения 22: января 2008 года) – более 3 % встречаемости. Это
опасный javascript-код, который перенаправляет браузер на сайты
злоумышленника;
5) Троян Troj/Decdec (дата
обнаружения 15 февраля 2007 года) – более 2 % встречаемости. Этот вирус
загружает новые вирусные коды из Интернета на ваш компьютер и пытается
их установить.
Рейтинг стран, на территории которых располагается больше всего заражённых вирусами страниц сайтов:
Китай (40,9 %), США (33,9 %), Россия (6,8 %), Германия (3,8 %),
Украина (2,2 %), Турция (1,4 %), Великобритания (1,2 %), Польша (0,8
%), Нидерланды (0,7 %), Италия (0,6 %).
Что нужно делать, чтобы максимально обезопасить себя от вирусов на сайтах?
- Использовать альтернативные операционные системы
(желательно Unix-подобные), если же нет, то следите за обновлениями
операционной системы Windows и вовремя их устанавливайте (особенно
следите за заплатками браузера Internet Explorer, через дыры которого
проходит наибольшее число веб-вирусов);
- Использовать альтернативные браузеры
последних версий (Opera, Firefox, Google Chrome). Для пущей
безопасности, например, в браузере Opera можно отключить обработку тега
<iframe>. Почти во всех браузерах можно отключить некоторые
модуля языка javascript;
- Использовать последнюю версию антивируса с обновлённой вирусной базой + иметь в наличии свежие версии бесплатной утилиты от Dr.Web CureIt!,
сохранённую где-нибудь на флешке, чтобы в случае сбоя системы или
антивируса как-то обезвредить вирус на локальном компьютере + Dr.Web LiveCD
от этой же компании с возможностью аварийной загрузки системы и
сканирования на предмет наличия вирусов. Всё это доступно на их сайте
бесплатно;
- Использовать самые последние версии ПО на вашем сервере, почаще обновлять веб-приложения (движки) на вашем сайте и закрывать уязвимости;
- Вы можете подключить ваш сайт к системе http://www.siteguard.ru/, через которую можно следить за изменениями кода
(преимущественно это javascript код) на страницах вашего сайта. В
случае обнаружения изменённого кода на сайте, система может сообщить
вам об этом по электронной почте, через аську и даже SMS;
- Внимательно следите за теми местами сайта, которые загружают информацию с других сайтов
(различные баннерные сети, коды биржи продажи ссылок и статей,
информеры и другие). Через уязвимости в их коде вирус может проникнуть
на ваш сайт. Иногда (что довольно редко) вирус может проникнуть,
например, в баннерообменную сеть, что может привести к тому, что сайт
будет заражён даже и без проникновения вируса на ваш сайт;
- Как можно чаще делать бекапы вашего сайта на
различные носители информации. Желательно, чтобы ваш хостер их делал
автоматически и предоставлял их вам по мере надобности. Если есть
бекап, то можно сайт легко восстановить в том случае, если вирус
нарушил его работоспособность. Да и вообще бекап делать полезно и при
других проблемах, которые могут случиться на сайте.
Если вы будете следовать этим простым советам, то ваш веб-сёрфинг в Интернете станет гораздо безопаснее.
|
