Проверить сайт на вирусы — это просто

Опубликовано в Проверка веб-сайтов   11 Июня, 2014

Предупреждения браузера Яндекс

Все вы, вероятно, видели хотя бы однажды предупреждение «Сайт может угрожать безопасности вашего компьютера» на красном фоне в своем Google Chrome или Yandex Browser при попытке посетить какую-либо страницу. Кроме того, скорее всего вы замечали в результатах выдачи поисковых систем ресурсы, отмеченные как «Сайт может представлять угрозу».

Причина — вредоносный код может создать вам же массу неприятностей, начинающихся с вовлечения вашего устройства в ботнет (хакерская сеть для совершения анонимных атак) и заканчивающихся кражей паролей, банковских кодов, ваших персональных данных, другой информации, представляющей ценность. Но это лишь вершина айсберга, понятная пользователям. В это же время для владельца отметка в черных списках поисковых систем сулит большую проблему, в решении которой раньше ему мало кто мог помочь.

Предупреждение Yandex Safebrowsing в поисковой выдаче
Раскрытое предупреждение Yandex Safebrowsing в поисковой выдаче

Перед владельцем и администратором стоит проблема поиска конкретного вредоносного кода — различные виды угроз: трояны, поисковые и мобильные редиректоры, шеллы, бэкдоры и другие вредоносные коды, которые могут находиться в различных файлах (или в изощренных случаях в их комбинациях) в большом количестве. На одном сайте может быть заражено до 10 тысяч файлов (пример из нашей практики), причем в каждом из них может быть прописан вредоносный код не от одного, а от многих зловредов. Virusdie.ru дает возможность проверить на вирусы, а также вылечить автоматически, удалив вредоносные файлы или излечив их.

О том, как вирусы попадают на сайт и как от этого защититься мы писали в предыдущих постах. Сегодня же мы дадим общие сведения о том, в каких файлах могут находится вредоносные коды, как Яндекс и Гугл находят их, как помечают сайты в блэклистах и о том, как вылечить сайт при помощи Вирусдая.

Как проверяют сайты Яндекс и Гугл

Яндекс и Гугл имеют специальные сервисы, отвечающие за отметки потенциально опасных сайтов в поисковой выдаче и за снятие таких отметок. Такие сервисы у обеих компаний имеют одинаковое название Safebrowsing (безопасный браузинг). Для определения наличия вредоносных кодов используются специальные краулеры и базы данных сигнатур вирусов специализированных антивирусных компаний, поставляющих, скажем, антивирусные решения и средства серверной защиты. Так, например, за определение наличия вредоносного кода для Yandex Safebrowsing отвечает компания Sophos, а Гугл пользуется несколькими базами, в том числе, базой Opera (Да, именно базой разработчика одноименного браузера).

Предупреждение Sophos

В данном случае речь идет именно о «поверхностном сканировании», т.е. о проверке кода доступных файлов *.JS и *.HTML, *.CSS, а также, о проверке по действию (выявление редиректов и пр.). Кончено, в большинстве случаев выявить полный вредоносный код так не получится (поскольку он в большинстве случаев находится в *.PHP файлах и доступен только с сервера ресурса), но определить сам факт наличия угрозы для пользователя представляется возможным.

Вердикт Яндекс Safebrowsing

Здесь также следует понимать, что большинство угроз находится в *.PHP файлах (60% — PHP файлы, 40% — другие типы файлов), особенно шеллы и бэкдоры, определить которые возможно при помощи глубокого сканирования исходного PHP кода. Также следует помнить, что найденный поверхностным сканированием HTML код — это совсем не тот код, который отвечает за его генерацию в PHP.

Как произвести поверхностную проверку сайта на вирусы

Мы ведем разработку бота для поверхностной проверки, поэтому, в случае если вы не хотите использовать бесплатное глубокое сканирование сервиса Вирусдай, мы рекомендуем использовать сервис virustotal.com, принадлежащий сейчас Гугл. Данный сервис хотя и не позволяет увидеть фрагмент обнаруженного вредоносного кода или вылечить сайт, но определяет вердикт сразу по более чем 20 антивирусным базам.

Как произвести глубокую проверку сайта на вирусы

Как вы уже знаете, видимый HTML код и PHP код, содержащий вирус — это абсолютно разные вещи. Также нужно помнить, что часто файлы бывают обфусцированными (код запутан самим разработчиком для усложнения задачи изменения исходного кода) и зашифрованными, однако, это не означает, что они содержат вредоносный код. С другой стороны, кажущийся на первый взгляд нормальным код может быть действительно вредоносным.

Для полного сканирования (HTML, JS, PHP, CSS и т.д.) мы рекомендуем синхронизовать сайт с антивирусом Вирусдай и произвести тотальную проверку. В случае, если сканер показал факт заражения — произведите автоматическое лечение (удаление вирусов), поскольку увиденный поисковыми роботами вредоносный код и помещение в черный список не только снизит поток пользователей на ваш ресурс, но и серьезно обрушит его позиции в поисковой выдаче, на восстановление которых может уйти несколько месяцев или лет.

Теперь Вирусдай будет автоматически сканировать сайт до четырех раз в день и извещать вас об обнаруженных угрозах, которые вы сможете автоматически удалить нажатием одной кнопки из панели управления антивируса.