Как найти вредоносный код на хостинге?

В настоящие время любой сайт может поддаваться взлому. Главная цель - завладеть ресурсами сайта для продвижения мошеннических действий. Такой код редко ведет к полной неработоспособности сайта, мошенники в этом не заинтересованы, так как попросту не будет среды для выполнения вредоносных скриптов. Для этого мы собрали информацию от специалистов поддержки HyperHost.UA которая поможет вам избежать неприятных последствий заражения.

Нужно понимать, что быстрое обнаружение такого рода кода поможет сайту не потерять репутацию у своих посетителей и  предотвратить дальнейшее заражение. На срок выполнения диагностики и очистки зараженных файлов стоит поместить сайт на карантин.

Как сторонний скрипт попадает на хостинг?

Зачастую жертвами взлома стают сайты на различных CMS, они манят пользователей своим простым созданием сайтов, но имеют много уязвимостей и “дыр”, хотя разработчики и питаются это предусмотреть, но слабые место все равно со временем всплывают.  Старайтесь вовремя обновлять версию PHP, версию CMS, плагины и т.д.

Второй причиной, есть установка модулей, тем, и другого ПО скачанных с не оф.ресурсов. Здесь стоить помнить, что восстановление и простой вашего сайта может потом стоить в разы больше, чем покупка платных продуктов, поэтому стоит задуматься о рациональности загрузки бесплатных комплектующих. 

Через взлом админ. части CMS, различный брутфорс (подбор паролей) к FTP-аккаунту, SSH доступ. Частично уберечь себя можно через подбор сложных комбинаций пароля и логина, также ограничение на вход по установленному IP, установка специальных инструментов, которые защищают от брутфорса.  

Нередко взламывают сайт через неосторожность его хозяина, например через  отправку данных входа в скриншотах, в различных чатах, почтой другим пользователям и так далее. Если такие случаи уже случились, нужно срочно сменить данные входа и никогда не предоставлять их третьим лицам. 

Также бывают и исключения, редкие способы попадения вирусов в файлы и БД сайта. Например, вам необходимо что-то выполнить на сайте и вы ищите через фриланс исполнителя, задание вроде и выполнено, но недобросовестный исполнитель оставляет после себя зараженные файлы. Чтобы обезопасить себя, выбирайте опытных с хорошим рейтингом специалистов. Да, это может быть дороже, но убережет ваш сайт.  

Какие признаки зараженного сайта?

1. увеличение нагрузки на сервер;
2. сайт стал загружаться очень медленно;
3. очередь в отправке писем;
4. предупреждения в инструментах веб-мастера;
5. непонятные редиректы с вашего сайта;
6. появление сторонних файлов и папок;
7. вы видите по логах, что  файлы были изменены, но вы эти изменения не вносили;
8. выполнение нехарактерных запросов; 
9. потеря трафика, в аналитике появились ключевые слова, которые не должны ассоциироваться с вашим сайтом;
10. посторонний материал на сайте.

Какой вред для сайта от посторонних скриптов?

Вредоносное ПО может внедряться злоумышленниками для многих задач, самые распространенные из них это:

• рассылка спама от вашего доменного имени;
• выполнения редиректов на сторонние ресурсы с вашего сайта;
• размещения блоков рекламы; 
• фишинговые страницы;
• майнинг;
• полностью замена наполнения сайта другим материалом;
• выполнение скриптов для взлома различного ПО, выполняются запросы по подбору паролей до чужой почты, админки CMS и другой поиск уязвимостей у сайтов и служб других пользователей.

Как найти вредоносный код?

Для поиска вредоносных скриптов существуют различные программные продукты, которые не только сканируют сайт на наличие вирусов, а и могут лечить, предоставлять подробные отчеты, мониторить состояние  сайта и т.д. Выполнять диагностику сайта можно используя различные антивирусы и сканеры для сайтов. 

Наверное, на хостинге самым распространенным вариантом есть сканер AI-Bolit, достаточно хорошо вычислять зараженные файлы,  само сканирование есть бесплатным, не для коммерческого использования. Инструмент регулярно обновляет базу вирусных сигнатур, есть поддержка всех востребованных CMS И OS, выполняет поиск по всем типам хакерских скриптов и ищет уязвимости.

Для использования необходимо скачать архив со сканером с оф. сайта на свой компьютер и распаковать его в корневой папке сайта, через командную строку запустить сканирование, в результате вы получите отчет о найденных вирусах. Мы выполняем сканирование этим инструментом всем нашим клиентам по запросу в тех.поддержку. 

Также компания предоставляет лечение и защиту от вирусов продуктом ImunifyAV. Антивирус  ImunifyAV идет в интеграции с популярными панелями управления хостингом, таких как ISPmanager, cPanel, Plesk  и д.р. Стоимость от 5 евро в месяц. Продукт выполняет сканирование, автоматическое лечение и удаление вредоносных файлов в пару кликов, удобное составление расписание сканирования и получение отчетов. 

Для экспресс-сканирования также можно применять онлайн сервисы, один из них продукты платформы SUCURI,  представлено бесплатное сканирование и на платной основе получение доступа к удаленным сканерам, также присутствует серверный сканер PHP, где выполняется полное сканирование на наличие вредоносных программ, SEO-сканер спама, проверка состоит ли сайт в черных списках, удаление вредоносного ПО, очистка следов от взлома, а также мониторинг доступности сайта, DNS мониторинг, наличия SSL-сертификата. Результаты сканирование отсылаются в виде отчетов на почту, SMS, Slack и RSS.

Функционал сканера очень разнообразный, но и недешевый как для обычных пользователей, цены можно посмотреть на сайте, на текущий момент стоимость от 199,99 долларов за год, на выбор представлено несколько планов с различной частотой сканирования и набором функций.

Свой облачный сканер имеет и компания Comodo  под названием Web Inspector. Сервис также содержит все базовые функции, такие как ежедневное сканирование файлов сайтов на наличие вредоносных программ, поиск уязвимостей для атак,   мониторинг черного списка, экспертная настройка безопасности и д.р.  Web Inspector есть платным, стоимость начинается от 7 долларов в месяц.

Среди продуктов определяющих вирусы на сайтах, серверах и т.д. сейчас большая конкуренция, найти их очень просто, в основном они имеют плюс/минус одинаковый набор функций, но все же есть отличия, выбрать стоит тот который наиболее точно удовлетворяет ваши потребности, начать можно с бесплатных для быстрой проверки.  

К сожалению, программы такого вида не гарантирует нахождения зараженных файлов на все 100%, а так же могут ошибочно  принять нормальные файлы за вирусы.

Анализ и устранение вредоносного кода требует достаточно высокого уровня знания ваших сайтов, по скольку зачастую вредоносный код внедряют в системные файлы сайтов, в результате, после их удаления сайты становятся неработоспособными. По этому после нахождение вирусов следует обратиться к разработчикам ваших сайтов или в специализирующее на то компании для корректного анализа и устранения вредоносных объектов.

Удаление вредоносных файлов не есть панацеей от повторного взлома, оптимальным вариантом будет найти уязвимости на сайте  и укрепить его безопасность.