Больше видео на нашем канале - изучайте интернет-маркетинг с SEMANTICA
Результатом работы вредоносного кода может стать удаление части полезного контента, или его публикация на стороннем ресурсе. Таким способом злоумышленники могут организовать кражу контента. Особенно обидно, если этому воздействию подвергся молодой ресурс с авторскими статьями. Может сложиться впечатление что это он своровал контент у более старшего ресурса.
Также вредоносный код может разместить в бесплатной теме скрытые ссылки на сторонние страницы, доступные для поисковиков. Не всегда эти ссылки будут вредоносны, но вес основного сайта гарантированно пострадает.
Общее назначение всех вредоносных кодов сводится к нарушению работы веб-страниц.
Внешне вредоносный код представляет собой хаотичный набор символов. В действительности за этой бессмыслицей скрывается зашифрованный код, содержащий последовательность команд.
Как вредоносный код попадает на сайт
Есть два способа, как на сайт может попасть вредоносный код.
1. Скачивание файлов и плагинов с сомнительных и ненадежных ресурсов. Чаще всего таким способам на сайт проникают зашифрованные ссылки. Явный код редко проникает на сайт этим путем.
2. Взлом сайта с последующим проникновением вируса. Этот способ считается более опасным, ведь взлом веб-страницы дает возможность передать не только "одноразовый" код, но и целые конструкции с элементами вредоносной программы (malware).
Такой код очень тяжело уничтожить, т.к. он может восстанавливаться после удаления.
Проверка сайта на вредоносный код
Следует помнить, что эти коварные конструкции могут появиться не только в активной теме, но и в любом файле ресурса. Существует несколько способов их поиска:
- Вручную. Для этого нужно сравнить содержимое всех актуальных файлов с незараженными версиями бэкапа. Все что отличается необходимо удалить.
- С помощью плагинов безопасности. В частности WordPress предлагает плагин Wordfence Security. У него есть опция сканирования файлов страницы на содержание постороннего кода.
- С помощью саппорта хостинга. Владелец сайта имеет право обратиться к ним с просьбой просканировать ресурс своим антивирусом. В результате они предоставят отчет, отражающий наличие зараженных файлов. Эти файлы можно очистить от посторонних конструкций с помощью обычного текстового редактора.
- Через SSH-доступ к сайту. Сам поиск осуществляется с помощью команд:
find /текущий каталог страницы -type f -iname "*" -exek -'eval' {} \; > ./eval.log
find /текущий каталог страницы -type f -iname "*" -exek-'base64' {} \; > ./base64.log
find /текущий каталог страницы -type f -iname "*" -exek -'file_get_contents' {} \; > ./file_get_contents.log
В результате их выполнения будет получена информация о подозрительных файлах. Перечень этих файлов запишется в лог, хранящийся в текущей директории.
- Проверка сайта на вредоносный код с помощью функции eval. Эта php-функция запускает на выполнение любой, даже зашифрованный код. В качестве одного из аргументов, на вход этой функции подается тип кодировки (как правило это base64_decode или str_rot13). Именно благодаря использованию популярных кодировок вредоносный код выглядит как бессмысленный набор латинских символов.
- Открываете редактор страницы.
- Копируете в буфер содержимое файла functions.php.
- Вставляете его в любой текстовый редактор (блокнот).
- Находите команду eval.
- Перед тем, как удалить вредоносный код, проанализируйте, какие параметры функция ожидает на вход. Т.к. параметры поступают в зашифрованном виде, их нужно расшифровать с помощью декодеков. Распознав входной параметр, вы можете принять решение о его дальнейшем нахождении в тексте файла functions.php.
Удаление вредоносного кода
После обнаружения вредоносного кода его просто необходимо удалить как обычную строку в текстовом файле.
Защита от вредоносного кода
Для того, чтобы предупредить появление вредоносного кода на сайте, необходимо соблюдать ряд профилактических мер.
Используйте только проверенное ПО:
- Загружайте дистрибутивы только из надежных источников.
- Во время запускайте обновление серверного ПО.
- Совершайте регулярный аудит системы безопасности сервера.
- Удаляйте устаревшие отладочные скрипты.
Ставьте на серверное ПО надежные пароли:
- Придумайте конструкцию из 12 символов, включающую цифры и буквы разных регистров.
- Для каждого из сервисов придумайте свой уникальный пароль.
- Меняйте свои пароли раз в 3 месяца.
Осуществляйте контроль данных, вводимых пользователями:
- Настройте фильтры HTML-разметки в полях ввода, содержимое которых попадет в код страницы.
- Организуйте серверную проверку входных данных на соответствие допустимому интервалу.
- Используйте WAF. Web Application Firewall - это мощный инструмент защиты сайта от хакерских атак.
Разграничивайте права доступа к своему ресурсу.
Заблокируйте или ограничьте доступ к инструментам администрирования движка вашего сайта и его баз данных. Кроме того, закройте доступ к файлам настроек и резервным копиям рабочего кода.
Такому проникновению вредоносного кода наиболее подвержены те сайты, на которых реализована возможность загрузки пользовательских файлов.
1. Организуйте защиту от ботов. Для этих целей многие CMS оснащены специальными плагинами;
2. Настройте проверку вводимых пользователями данных:
- Запретите вставку JavaScript-кода внутри конструкции t>.
- Ведите перечень безопасных HTML-тегов и отсеивайте конструкции, не вошедшие в этот список.
- Анализируйте ссылки, которые присылают пользователи.
- Для этого существуют специальные сервисы, например Safe Browsing API. Он позволяет проверить безопасность документа по URL.
Как предупредить случайное размещение вредоносного кода.
- Тщательно следите за используемым ПО:
- Загружайте библиотеки и расширения CMS только с проверенных источников, а лучше всего с официальных сайтов.
- Изучайте код нестандартных расширений, которые вы собираетесь поставить на движок своего сайта.
- Размещайте рекламу очень осторожно:
- Публикуйте на своей площадке объявления, которые предлагают только надежные рекламодатели.
- Старайтесь размещать на своей странице статический контент.
- Остерегайтесь партнерских программ со скрытыми блоками.
