Обнаружение и устранение вирусов на сайте в 3 шага. Антивирус для сайта битрикс
Антивирус в 1С-Битрикс - Singree
Не секрет, что 1С-Битрикс оснащена довольно сильным веб-антивирусом. Что же делать, если вирус обнаружен? Как разобраться с проблемой, чтобы не нанести вреда сайту?
В первую очередь, надо выяснить, действительно ли веб-антивирус нашел вирусную ссылки или же мы имеем дело с ложным срабатыванием? Так как работа веб-антивируса 1С-Битрикс опирается на эвристический анализ html кода, количество минимальных срабатываний нельзя свести к нулю. Веб-антивирус просматривает потенциально опасные блоки html кода и может по ошибке распознать некоторые из них, как вирусные.
Грубо говоря, речь идет о двух типах блоков, которые могут быть обнаружены веб-антивирусом и помечены, как вирусные. Первые — легитимные блоки. Они добавлены программистом, а не вирусной программой (ложное срабатывание). Вторые — по-настоящему вирусные блоки. Отметим, что отличить вирусный блок от легитимного довольно легко. С этой задачей справится и человек. В то же время, если сканировать блоки персональными антивирусами, результат оставляет желать лучшего, ведь вирусные блоки не содержат вирусы, а лишь ссылки на них.
Итак, если веб-антивирус обнаруживает вирус, но блок проверен и помечен, как легитимный, то значит, мы имеем дело с ложным срабатыванием. Чтобы избежать этой ошибки в дальнейшем, возьмите строку из «вирусного» блока (постарайтесь, чтобы она была длинной и уникальной) и добавьте ее в список исключений веб-антивируса. Если же ссылка на вирус присутствует, то возникает проблема.
Дело в том, что вирусная ссылка есть не что иное, как прямое указание на то, что на вашем сервере находится сторонний код. Это подводит нас к неутешительному выводу: если «вражеский» код на сервере, то значит, что произошла компрометация, то есть злоумышленник имеет доступ ко всем файлам, хранящимся на сервере. Как правило, если веб-антивирус 1С-Битрикс обнаруживает вирусный блок, это означает, что машина программиста, администратора или вебмастера заражена. Воспользовавшись доступом машины к серверу через FTP (SSH, SFTP), вирус похищает пароль от сервера.
Если вирус на сайте обнаружен и подтвержден, то надо проверить все машины, которые имеют доступ к сайту, а также к панели администрирования 1С-Битрикс. Проверка проводится с помощью стандартного персонального антивируса. Когда «чистка» завершена, надо сменить пароли от сервера, включая пароли от FTP, SSH, рутовые пароли, пароли базы данных и пользователей 1С-Битрикс с доступом к панели администрирования.
После смены паролей необходимо удалить весь сторонний код с сервера. Советуем использовать контроль целостности файлов из 1С-Битрикс для контроля за изменением файлов. К сожалению, контроль целостности файлов поможет вам только в том случае, если вы проводите регулярные проверки. Если вы никогда раньше не запускали контроль целостности файлов, то найти все изменения в коде, оставленные хакером, будет очень непросто.
Что же делать, если контроль целостности файлов никогда не запускался, а проблема есть? В таком случае, надо осуществить поиск вирусного блока или строки на всех файлах сервера, провести ручную проверку недавно измененных файлов, проанализировать логи http сервера.
В общем, надо надеяться, что вы столкнулись с обыкновенным хакером, который внедрил пару java скриптов, не оставил скрытых бекдоров и ушел восвояси. Конечно, на везение полагаться не стоит — хакеры могут скрывать бекдоры десятками разных способов, что затрудняет их поиск и обнаружение. Случаи, когда скрытые бекдоры остаются, достаточно редки, но все же случаются. Запомните: если вы проделали все вышеописанные процедуры, но сайт по-прежнему плохо работает, то на сайте есть скрытый бекдор. В таком случае, можно пожелать вам удачи в поисках.
singree.com
Статьи / 1С-Рарус Web-студия
С увеличением числа взломанных сайтов и пострадавших владельцев все более актуальной становится борьба с одной из причин взлома сайтов – вирусами.
Владельцы зараженных сайтов могут не знать о том, что их сайт подвергся заражению, также заражение может проявляться внешне, например в:
ошибках и строках кода в пользовательском режиме сайта
невозможности получить доступ к административной части сайта
проблемах в функциональности как пользовательской, так и административной частях сайта
Для очистки системы от вирусов:
Воспользоваться сканером AI-BOLIT для проверки сайта на вирусы и взлом.
Существует версия сканера для Windows. Для проверки нужно скачать архив, выгрузить локальную копию сайта в указанную папку site и запустить сканирование. По итогам проверки сканер формирует отчет со списком обнаруженных потенциально вредоносных файлов в html. Сканер проверяет файлы не только по собственной антивирусной базе, но также использует методы для обнаружения потенциальных вредоносных фрагментов, таким образом, не все обнаруженные файлы могут являться зараженными.
Проверить файлы согласно полученному списку.
Очистить файлы от строк следующего вида:
Вредоносные файлы могут быть созданы вирусом и полностью состоять из вредоносного кода, такие файлы следует удалить. Файлы обычно маскируют под служебные или системные файлы.
В случае если не удается восстановить работоспособность сайта можно выполнить перезаливку ядра системы через систему обновлений. Для этого нужно перейти на страницу «Обновление платформы» со следующим параметром:
/bitrix/admin/update_system.php?lang=ru&BX_SUPPORT_MODE=Y
Перед этим нужно сделать резервную копию сайта.
В результате этого на странице обновлений появится системная область, в которой будет перечислен список кодов всех модулей, доступных для вашей редакции. Достаточно перечислить в этом поле все те модули, которые нуждаются в перезаливке и нажать кнопку «Перезагрузить все файлы».
www.rarusweb.ru
Обнаружение и устранение вирусов на сайте в 3 шага
Довольно часто причиной некорректной работы сайта являются вирусы. Под вирусами подразумеваются вредоносные программы или включения вредоносного кода в файлы сайта, которые нарушают стандартное функционирование. Основной причиной заражения являются действия злоумышленников, желающих обогатиться за чужой счет, например, получая деньги за трафик, перенаправляемый со взломанных интернет-ресурсов.
Не все пользователи четко представляют, что необходимо делать, если в работе сайта замечены какие-то сбои. Timeweb публикует советы о том, как определить, заражен ли ваш сайт и какие действия необходимо осуществить для устранения проблемы.
Как обнаружить вирус?
Первым шагом в решении проблемы должна быть диагностика. Исследуйте свои файлы на содержание лишних элементов:
- Установите антивирусную программу, если ее еще у вас нет. Современные программы умеют определять вирусы, и если при заходе на сайт появляется предупреждение, значит вирус там точно есть. Однако, если предупреждения нет, это не значит, что сайт чист и заражения не произошло.
- Проверьте время последнего изменения индексного файла в FTP. Он может называться index.html, index.php, default.php и т.д. Если последнее изменение было совсем недавно, а вы не обновляли информацию на сайте в это время, возможно страница была заражена.
- Воспользуйтесь сервисом Яндекс.Вебмастер. Этот удобный инструмент автоматически проверяет сайт на наличие вирусов при каждом обновлении, и может оперативно присылать на e-mail предупреждения, если вредоносный код будет обнаружен.
Также, если вы обнаружили, что нагрузка на сервер внезапно возросла, или хостинг-провайдер пишет вам, что с сайта идёт рассылка спама - вероятно ваш сайт был взломан и стал площадкой для размещения вредоносных программ.
Какие действия предпринять при заражении сайта?
Если ваш сайт заражен, не стоит паниковать или обвинять хостинг-провайдера в возникновении проблемы. В абсолютном большинстве случаев хостер не имеет отношения к появлению вирусов на вашем ресурсе. Более того, хостинг-провайдер заинтересован в их скорейшем устранении, так как это может затронуть интернет-ресурсы других клиентов компании. Однако, чтобы убедиться, на чьей стороне проблема, уточните у хостера, является ли она массовой, или возникла только на вашем сайте.
Если проблема обнаружена только на вашем сайте, нужно исследовать, при каких обстоятельствах она возникла, и начать ее решение самостоятельно.
- Выполните полную проверку собственного компьютера на вирусы.
- После сканирования смените все пароли доступа к электронной почте, аккаунту на хостинге, приложениям браузеров и FTP-клиентам
- Если вы используете популярную CMS, то возможно злоумышленник воспользовался ее уязвимостью. В этом случае нужно обновить CMS и ее модули до последних стабильных версий из официальных источников и отключить неиспользуемые или подозрительные модули.
- Попросите хостера проверить общую временную директорию сервера.
Как удалить вредоносные файлы?
После того, как вы определите причину некорректной работы и обнаружите вредоносные файлы, вам необходимо их удалить. Для этого вы можете использовать возможности консоли сервера (доступ по SSH). Большинство хостинг-провайдеров предоставляет клиентам доступ к их домашнему каталогу по SSH по умолчанию или же по обоснованному запросу.
Даже если вы успешно и “безболезненно” справились с проблемой, мы рекомендуем периодически проводить профилактические меры, повышающие защиту вашего сайта. Ниже несколько советов, о том, как защитить ваш проект:
- Не используйте устаревшие версии CMS и плагинов к ним. Следите за обновлениями.
- После определения причины заражения сайта не ограничивайтесь только одним лишь его лечением. Проверьте всё, что кажется вам подозрительным.
- Лучшая схема восстановления сайта после взлома - закрыть к нему доступ посетителей, найти причину взлома, восстановить сайт из бекапа и далее устранить уязвимость.
- После устранения проблемы обновите CMS и убедитесь, что уязвимый компонент также обновился.
Перечисленные рекомендации помогут вам в короткие сроки самостоятельно устранить или, как минимум, обнаружить причину некорректной работы сайта. Помните, что надежный хостинг-провайдер всегда будет готов помочь решить проблему или дать необходимые рекомендации.
Выбрать тарифы надежного хостинга с качественной технической поддержкой.
timeweb.com
Яндекс выпустил антивирус для сайтов — Manul / Блог компании Яндекс / Хабр
Поиск Яндекса ежесуточно показывает людям больше восьми миллионов предупреждений о том, что страница, на которую они хотят перейти, заражена. Часто владелец сайта вспоминает о том, что его сайт может быть взломан и на нём может быть размещен вредоносный код, только тогда, когда худшее уже случилось, трафик упал, и пользователи успели заразиться. Чтобы вебмастера могли как можно быстрее реагировать на проблемы, мы уже несколько лет рассылаем предупреждения о заражении в Яндекс.Вебмастере. В них мы даём подробные инструкции, что нужно делать, а в самых сложных случаях вебмастерам помогает наша служба поддержки.
Однако всегда хочется лучшего. Одна из главных проблем, с которыми мы сталкиваемся при общении с владельцами зараженных сайтов, — это поиск источника заражения на стороне сервера. У Яндекса, который каждые сутки размечает тысячи сайтов как зараженные вирусом и опасные для устройств человека, есть регулярно обновляемая база вирусов. И у нашей команды появилась идея, выросшая в большой проект, – антивирус для сайтов. Так мы создали Manul, который решили выложить в open source. Это утилита, которая поможет вебмастеру понять, что произошло с сайтом и вылечить его. Под катом я расскажу подробнее о том, как он устроен и какие проблемы решает. Заражение сайта может произойти не только из-за его взлома, но и из-за размещения на нём кода какого-либо сервиса, который оказался не столь надежным, как вам вначале показалось. Когда такое случается с важными для людей сайтами, это вредит не только их владельцам.
Наша служба поддержки ежедневно получает десятки писем от вебмастеров с просьбой помочь справиться с заражением. Но мы, как правило, видим только внешние проявления заражения и часто не можем с уверенностью сказать, где именно на сервере следует искать вредоносный код. Точно также мы не можем гарантировать, что источник заражения находится только в одном месте. Таким образом, главная работа по устранению причин заражения ложится на плечи владельца сайта, а из-за этого процесс выздоровления может затянуться. В то же время мы знаем, что большая часть проблем — это нехитрые, но массовые заражения, рассчитанные, например, на давно известные уязвимости старых версий CMS и отдельных компонентов.
Поэтому у нас появилась идея сделать простой инструмент – антивирусную утилиту, которая бы собирала структурированную информацию о сайте. После этого должна быть возможность проанализировать собранные данные самостоятельно или отправить специалисту. Кроме того, хотелось бы, чтобы такими специалистами могли быть как мы, так и студии или отдельные специалисты, которые также занимаются лечением сайтов, а при желании вебмастер мог бы сделать это и сам. И, конечно, инструмент должен уметь предлагать лечащий скрипт, чтобы автоматизировать процесс лечение от начала и до конца. Особенно для рядовых случаев.
Мы стали думать, как такое можно реализовать. Было понятно, что это должна быть легко устанавливаемая утилита, которая бы не требовала доступа к учетным записям администратора. Так как Яндекс информирует вебмастеров о заражении на их сайте, то будет достаточно, если в случае такого заражения утилиту можно будет быстро скачать и установить, а после окончания лечения – также просто удалить папку с антивирусом с сервера.
Антивирусные решения для сайтов на рынке уже существовали, но отличались от того, что хотелось бы видеть нам: бесплатный открытый инструмент, которым легко пользоваться и который можно развивать и дополнять всем желающим. При создании нашей антивирусной утилиты мы решили обменяться опытом с компанией Revisium.
У Григория Земскова из Revisium был большой опыт сканирования и лечения сайтов на стороне сервера, а также работающее решение — скрипт Ai-Bolit, в который уже была заложена значительная часть желаемой функциональности. Мы объединили наши знания и пожелания, и получилось нечто новое — Manul.
Как это всё работает?
Архив с Manul заливается в корневой каталог сайта — например, через FTP/SFTP, и там распаковывается. Дальше работа с инструментом идет через браузер. При сканировании Manul собирает информацию обо всех файлах, лежащих в корневом каталоге и ниже его, — об их размере, дате последнего изменения, вычисляет хэш-сумму. Параллельно каждый файл проверяется на вредоносность по приложенной антивирусной базе и помечается одним из трех флажков:- желтый — в файле присутствует подозрительный код, который по различным признакам может оказаться вредоносным;
- красный — в файле присутствует известный нам вредоносный код;
- зеленый — в файле не найдено ничего подозрительного.
Для просмотра отчета существует отдельный инструмент — Анализатор логов Manul, доступный онлайн. Он представляет отчет в виде таблицы, позволяет отфильтровать файлы по набору таких свойств, как размер, дата изменения и другие, просмотреть фрагменты подозрительного кода. Для различных версий популярных CMS Анализатор автоматически применяет белые списки, чтобы сразу отфильтровать файлы из стандартной комплектации, в которых не было замечено изменений. А нажимая кнопки Quarantine и Delete, расположенные напротив каждого файла, можно сформировать скрипт для Manul, который удалит вредоносные файлы с сервера, а подозрительные поместит в архив для отправки на анализ. Исполнить этот скрипт можно, открыв Manul и перейдя на вкладку Лечение.
Manul не требует доступа к конфиденциальным данным (таким, как пароли). Все производимые с файлами действия контролирует и подтверждает владелец сайта. Чтобы инструментом не смогли воспользоваться третьи лица, при первом запуске его необходимо защитить паролем. Никакие данные о сайте и пользователе при использовании утилиты никуда автоматически не отправляются.
Утилита не требовательна к среде исполнения и рассчитана на то, чтобы запускаться даже на слабых хостингах. Но все же для запуска ей необходимо выполнение некоторых условий: версия PHP не ниже 5.2 и наличие в ней модулей ZipArchive, DOM и XML. Также Manul потребуется доступ на чтение web_root/public_html каталога виртуального хоста
Что же дальше?
Мы решили сделать так, чтобы воспользоваться нашим трудом мог любой вебмастер. Для этого мы разместили наш Антивирус на Яндекс.Вебмастере и теперь всегда будем напоминать о его возможностях вместе с оповещением о том, что с сайт был заражен вирусом.Однако на достигнутом мы решили не останавливаться. Мы хотим, чтобы у каждого разработчика была возможность не просто воспользоваться нашим Манулом, но и дать ему новую жизнь. Manul — это проект с открытым кодом, который выложен на GitHub. Вы можете принять участие в его развитии, добавить новые возможности или адаптировать исходный код под собственные нужды.
habr.com
Виды комплексной защиты сайтов от внешних угроз
Опубликовано в Защита веб-сайтов 28 Августа, 2017Любой коммерческий сайт находится в зоне риска внешнего воздействия по умолчанию – злоумышленники используют десятки способов взлома веб-страниц вне зависимости от того, на какой платформе они сделаны.
В списке «классических» типов атак находятся:
- SQL-иъекции,
- Межсайтовый скриптинг (XSS),
- Удалённое исполнение кодов (RCE),
- Межсайтовая подделка запросов (CSRF),
- Локальный и удалённый инклуд (LFI, RFI),
- Варианты обходов авторизации,
- Автоматизированный подбор паролей (Bruteforce).
Практика показывает, что под угрозой взлома находятся абсолютно все веб-страницы. Небольшие ресурсы с малым трафиком и нейтральным информационным контентом, значимые порталы с большими объёмами пользовательских данных, сервисы по обработке транзакций – это неважно, от хакерских нападений не застрахован никто.О чём свидетельствует и статистика:
- Периодическим атакам подвергается каждый третий сайт.
- Около 80 % интернет-ресурсов подвергаются взлому вследствие нецелевых атак, использующих популярные утилиты и сканеры.
- Более половины взломанных страниц оперативно блокируются поисковыми системами в пользовательской выдаче.
Фаерволы – универсальное ПО на страже интернет-страниц
Идеальная защита сайта заключается в том, чтобы обезопасить его от всех специфических угроз ещё на стадии разработки. В реальной жизни у многих веб-мастеров руки до программного затыкания всех «дыр» не доходят, и следить за безопасностью приходится в рабочем режиме.
Для защиты интернет-ресурсов от хакеров используются различные варианты Web Application Firewall – многосетевых экранов, позволяющих на прикладном уровне эффективно отражать атаки злоумышленников. Принцип работы любого фаервола одинаков: контролируя все поступающие данные, программа сверяет их с сигнатурами, набором программных правил, описывающих известные атаки. В случае обнаружения подозрительных запросов фаервол их оперативно блокирует.
Защита сайтов на WordPress и Joomla
Основные CMS-платформы используют свои, особенные фаерволы. Так, сайты на Вордпресс можно проверить платным сервисом Sucuri firewall, который в целях безопасности создаёт специализированный прокси-сервер, фильтрующий входящий поток запросов на вредоносность.
В качестве бесплатной защиты сайта на WordPress от взлома многие веб-мастера используют такие плагины, как WordPress Simple Security Firewall и All In One WP Security & Firewall, – каждый из них имеет свои особенности и функциональные настройки. NinjaFirewall представляет собой ещё один автономный продукт, который сканирует поступающие HTTP/HTTPS-запросы сценариев PHP.
Среди программного обеспечения, предназначенного для интернет-ресурсов на платформе Joomla, выделяется многофункциональное расширение SecureLive в платной версии. Большой популярностью у разработчиков пользуется и RSFirewall, защищающий сайты от большинства видов современных угроз.
Защита сайта на Bitrix
В программном обеспечении «1С-Битрикс: Управление сайтом» находится целый ряд технических функциональных решений и веб-приложений, которые относительно эффективно защищают интернет-ресурсы на базе этой платформы.
- Прежде всего стоит обратить внимание на модуль «Проактивная защита», инструменты которого образуют комплексный мониторинг и сохранность от всех основных типов угроз.
- Проактивный фильтр Web Application Firewall (WAF) стоит на страже веб-приложений, защищая страницы от SQL-уязвимостей, скриптинга XSS, инклудинга и т. д.
- Инструменты аудиторной безопасности PHP-кода помогают определить в системе битрикс-сайтов наиболее уязвимые места в коде.
Наконец, встроенный в сам продукт универсальный антивирус защищает от имплантирования в веб-приложения вредоносного кода, а также контролирует общие настройки безопасности всей системы.
Защита сайтов на MODX и Opencart
Настройка безопасности сайтов в системе CMS MODX производится вручную. Здесь стоит обратить внимание прежде всего на перемещение ядра приложения – каталог core желательно перенести за границу корневого каталога (то есть, расположить по дереву файловой системы повыше). При перенесении каталога нельзя забывать о редактировании всех имеющих отношение к ядру конфигурационных файлов, указав для них обновлённый путь до ядра.
Для повышения уровня защиты сайта на MODX желательно перенести адрес административной панели – это мешает ботам опознанию ресурса в качестве ресурса, созданного на основе этой CMS. Для проведения этой процедуры достаточно переименовать каталог, в котором находится адрес (по умолчанию он прописывается в виде http://site.ru/manager) и задать новое направление в файле конфигурации.
Обезопасить интернет-магазин на базе системы Opencart также несложно. В первую очередь улучшить защиту помогает перенос адреса админ-панели с последующим прописыванием пути к ней всех связанных конфигурационных файлов. Одновременно на важные типы файлов (admin/config.php и config.php) рекомендуется установить ограничение прав доступа только на чтение.
В качестве профилактической меры защиты можно сменить и логин-пароль для входа во внутреннюю систему Opencart.
Virusdie – надёжность в защите, простота в управлении
Этот короткий обзор средств защиты основных CMS-систем наглядно показывает, что процесс ручной настройки и управления занимает много времени и усилий.
Антивирусное программное обеспечение от Virusdie помогает настроить систему безопасности любого сайта автоматически, только лишь подключив сайт к онлайн-базе сервиса.
Virusdie предоставляет профилактическую защиту и излечение от всех известных вирусов и хакерских угроз, SQL- и XSS-инъекций, спама в комментариях и прочих видов подозрительной активности.
В программный пакет входит комплексный антивирус, работающий со всеми основными веб-платформами, надёжный фаервол и менеджер файлов. Встроенное решение по автоматическому поиску и удалению вредоносных кодов (на основе функционала Вирусдай.Сервер) позволяет пользователям из личного кабинета контролировать содержимое системных каталогов, своевременно редактируя и удаляя все подозрительные объекты.
Эффективная защита сайта с помощью антивируса Virusdie обеспечена большим количеством современных, высокотехнологичных инструментов, для запуска которых от пользователя не требуется точечная настройка, – достаточно активировать кнопку в соответствующем меню безопасности. За эту простоту и удобство программное обеспечение от Virusdie выбирает множество владельцев сайтов, уже успевших оценить преимущество онлайн-сервиса.
virusdie.ru
Вирусдай — антивирус для сайтов, за который не стыдно
Это, по большей части, рекламный пост, поскольку он первый в нашем блоге. После первого знакомства мы будем писать здесь об архитектуре защитных систем, антивирусных алгоритмах и интерфейсах.
В 2012 году мы решили создать самый удобный инструмент для защиты и борьбы с вирусами на сайтах и вот, сегодня этот проект вырос в сервис, о котором нам не стыдно рассказать.
Не секрет, что поражение сайта вирусом не сулит ничего хорошего его владельцу, а проблема устранения и предотвращения заражения сайтов с каждым годом становится все актуальнее. Решать проблему заражения приходится, в большинстве случаев, веб-мастеру.
Именно для таких веб-мастеров мы и создали сервис Вирусдай, который не только экономит время при поиске вредоносного кода и устранении заражения сайтов, а часто позволяет забыть о подобных проблемах. Достаточно лишь довериться антивирусному автомату и фаерволу.
Что такое Вирусдай
Вирусдай — это облачный антивирус для сайтов и фаервол, позволяющий автоматически лечить сайты от вирусов, защищать от повторных заражений, атак, XSS/SQL инъекций и подозрительной активности.Сервис предназначен для веб-мастеров, веб-студий, SEO-специалистов и владельцев сайтов, которые предпочитают тратить минимум времени (или не тратить вовсе) и сил на поиск и устранение источников и последствий заражения.
Вирусдай находит и устраняет в автоматическом режиме вредоносный код в PHP, HTML, JS, системных файлах и файлах, замаскированных под изображения, причем после лечения работоспособность ресурса пользователя сохраняется. Сервис может работать сразу со множеством сайтов пользователя и не требует установки или настройки.
Вирусдай комфортный
Простой в использовании Для начала работы необходимо просто добавить новый сайт в список на сервисе и синхронизовать его. Для этого предлагается скачать и разместить уникальный для каждого пользователя *.PHP файл в корневом каталоге сайта. Остальное сервис сделает сам, а вы просто можете контролировать процессы и управлять всем через панель.Автоматически устраняет вредоносный код Антивирус позволяет не только находить вредоносный код, но и устранять его в автоматическом режиме. При этом Вирусдай может не только удалять файлы целиком, а способен аккуратно вырезать фрагменты вредоносного кода, сохраняя работоспособность ресурса.
Не оставляет своих пользователей наедине с проблемой Бывают случаи, когда Вирусдай не может справиться с найденным заражением в автоматическом режиме. Однако, и здесь сервис не бросит вас одних. Во-первых, можно воспользоваться встроенным редактором, в котором найденный фрагмент кода будет наглядно выделен и самостоятельно принять решение об удалении нужного куска. Во-вторых, вы можете попросить техподдержку сервиса проанализировать найденную угрозу и устранить ее.
Защита в один клик Для снижения вероятности повторного заражения сайта и последствий от атак Вирусдай позволяет одним кликом установить фаервол на сайт. Данные о результатах его работы выводятся в панели управления соответствующего сайта на сервисе. Фаервол входит в стандартный набор функционала сервиса Вирусдай.
Ящик с инструментами
Мы постарались создать на сервисе удобное пространство для веб-мастеров и расширили основные функции антивируса и фаервола дополнительными инструментами: менеджером файлов, редактором файлов и списком исключений. Расскажем теперь про все чуть более подробно.Вся работа с сайтами на сервисе ведется из списка, в который вы можете добавить неограниченное их количество и определить для каждого интервал автоматических проверок и прочие настройки (автоматическое лечение, исключения и т.д.). Также, отсюда можно запускать проверку сайтов и делать быстрые настройки.
Для перехода к работе с инструментами каждого сайта достаточно просто кликнуть по нужному блоку в списке,- откроется панель инструментов нужного ресурса.
1. Антивирус
В разделе антивируса отображается подробная информация о пораженных и вылеченных файлах, ошибках, их количестве и времени проверок. Последняя/текущая операция отображается в большом блоке антивируса в верхней части страницы. Статус сайта имеет цветовое кодирование. Красный — обнаружены угрозы. Желтый — ошибка синхронизации. Переключатель автоматического лечения находится здесь же (в дополнении к обязательному присутствию в общем списке настроек сайта). В случае, если автоматическое лечение включено — найденные угрозы будут автоматически устранены при проверке сайта.Вирусдай может устранять не все обнаруженные им угрозы в автоматическом режиме. Антивирус не лечит обнаруженные Подозрения, а обнаруженные Заражения бывают излечимыми в автоматическом режиме или нет. Это объясняется тем, что не всегда можно гарантированно сформулировать правила определения точного фрагмента вредоносного кода, при удалении которого работоспособность ресурса сохранится.
Даже в таком случае вы можете посмотреть найденный вредоносный код (код подсвечивается) в редакторе файлов (в который можно перейти из отчета о проверке/лечении) и устранить его вручную или запросить решение проблемы у службы поддержки.
При автоматическом лечении всегда сохраняется резервная копия изменяемых (или удаляемых) антивирусом файлов. Восстановить файл на состояние «до лечения» возможно из редактора файлов, перейдя в него из отчета.
Кроме того, Вирусдай отслеживает нахождение сайта в черных списках Google и Yandex Safe Browsing. Такая возможность позволяет быть уверенным в успешности проведенного лечения.
В случае, если сайт после лечения не пропадает из черных списков (и Вирусдай не может найти угроз) вам будет предложено обратиться в техподдержку сервиса, где данным вопросом займутся специалисты отдела антивирусных баз (в дальнейшем мы усовершенствуем данный сценарий и исключим необходимость писать запрос по этому поводу).
2. Список исключений
Для игнорирования определенных файлов сайта при проверке мы внедрили список исключений, в который можно добавить файл как из отчета о сканировании/лечении, так и из менеджера файлов.
3. Менеджер файлов
Для удобства (особенно, если сайты находятся физически на разных серверах) мы сделали встроенный менеджер файлов, который можно использовать для получения наглядной картины заражения (маркеры пораженных каталогов/файлов отображаются в файловой структуре).
Из менеджера файлов (как и из любого отчета о проверке/лечении) можно перейти к просмотру непосредственно любого файла ресурса во встроенном редакторе файлов.
4. Редактор файлов
В редакторе файлов можно своими глазами посмотреть на найденный вредоносный код и произвести быструю правку контента самостоятельно. Вредоносный код при просмотре файла в редакторе будет подсвечен.
Здесь же доступно изменение прав на файл и восстановление из резервной копии, создаваемой автоматически при лечении.
5. Фаервол
Единственным инструментом, который сегодня все еще находится на стадии отладки и тестирования является фаервол, который мы включили в основной функционал сервиса. Он доступен сегодня для сайтов на системах управления Joomla, WordPress, Drupal, DLE, Bitrix, ModX, Yii framework, Opencart, NetCat, CS.Cart, AmiroCMS, HOSTCms и Magento и способен снижать вероятность успешности DoS атак, XSS/SQL инъекций и загрузки подозрительных файлов.Фаервол автоматически устанавливается на сайт при переключении свитчера во включенное положение. Все данные о работе фаервола выводятся в панели сайта.
Откуда алмазы?
Мы убеждены в том, что хороший сервис должен быть платным, поскольку качество требует постоянного вложения серьезных ресурсов. Поэтому Вирусдай — это платный сервис. Проверять любое количество ваших сайтов (в том числе по расписанию) он позволяет бесплатно. Платными являются услуги лечения и защиты. В то же время цена использования сервиса настолько ниже стоимости услуг, предлагаемых сегодня на рынке, что нам даже неудобно здесь о ней писать. Кроме того, у нас существует несколько партнерских программ, делающих использование сервиса еще более интересным.Антивирусная база
С самого начала мы понимали, что автоматическое лечение — это, прежде всего, качественные правила детектирования. Мало просто обнаружить присутствие вредоносного кода, его нужно удалить так, чтобы работоспособность ресурса не была нарушена. Очень большое внимание мы уделяем именно этому аспекту сервиса. Сегодня антивирусная база пополняется нашим отделом антивирусных баз, а также использует несколько сторонних SDK. Кроме того, любой пользователь сервиса может прислать нам найденный им вредоносный код для анализа и, возможно, на его основе будет создано соответствующее правило детектирования/устранения.Что будет завтра
Сервис Вирусдай предоставляет свои услуги не только веб-мастерам. Для поисковых систем, интернет-компаний и крупных веб-проектов мы создали сервис поверхностной проверки сайтов на наличие угроз Вирусдай.Бот. Сервис доступен посредством API и позволяет бегло проверить HTML и JS файлы сайта, доступные «снаружи» на наличие заражений и, кроме того, проводит поведенческий анализ, например, устанавливая присутствие мобильного редиректа.Также, сегодня на мощностях одного из хостинг-провайдеров проводится тестирование серверного антивируса Вирусдай.Сервер, который мы создали в результате исследовательской работы. Пока это еще прототип, но, вероятно, Вирусдай.Сервер превратится в полноценный продукт уже в этом году.
Мы каждый день работаем над усовершенствованием существующего сервиса. Ежедневно в него вносится множество изменений, по большей части скрытых от глаз пользователей, но влияющих на эффективность его работы. Раз в неделю мы вносим изменения в интерфейс, оптимизируя сценарии взаимодействия с ним. Нам предстоит сделать еще очень многое, но это лишь вдохновляет нас.
Теперь, когда мы представили вам сервис, сможем в следующем посте рассказать о его архитектуре.
habr.com
Установка веб-антивируса Манул от Яндекс
UPD. Яндекс прекратил разработку и поддержку своего антивируса. RIP Манул : (
Совместно с компанией Revisium, Яндекс выпустили антивирус для сайтов под названием Манул. Этот антивирус позволяет сканировать и удалять обнаруженные на сайте вирусы на стороне сервера.
После его установки антивирус Манул сканирует файлы сайта, в корневой директории которого он расположен. При сканировании файлы проверяются на наличие вредоносного кода. После окончания проверки антивирус сохраняет отчет, к которому прикладывает подозрительные участки кода.
На сайте Яндекса так же есть отдельный инструмент для анализирования логов антивируса Манул, который обрабатывает и предоставляет отчет в виде таблицы, где можно произвести сортировку файлов по различным свойствам.
Для разных версий популярных движков сайтов, анализатор применяет дополнительные белые списки, чтобы исключить из отчета дистрибутивные файлы. В процессе работы над списком можно сформировать скрипт для удаления подозрительных файлов сайта с сервера или отправки их для анализа разработчикам антивируса.
Проект открыто разрабатывается и доступен публично для скачивания всеми желающими с GitHub, так же он доступен в сервисе Я.Вебмастер.
Процесс установки и использования Манул
Системные требования антивируса крайне неприхотливые. Он может работать начиная с версии PHP 5.2. Последняя версия антивируса находится по адресу http://download.cdn.yandex.net/manul/manul.zip
Переходим в ISPmanager -> www-домены -> выбираем нужный веб-домен, который требует проверки и нажимаем кнопку “Каталог” для перемещения в корневой каталог сайта с помощью файлового менеджера
После загрузки архива на сервер, распакуйте его в корневую директорию сайта
Теперь перейдите браузером по ссылке http://<имя-сайта>/manul
Интерфейс Манула максимально прост. При первом запуске потребуется задать пароль для доступа в административную панель Манула. Это должен быть достаточно сложный пароль с использованием не менее 8 символов разных регистров и цифр.
После того, как пароль придуман и авторизация прошла успешно, откроется административная панель веб-антивируса. Разберем ее подробней:
Первым открывается режим сканирования. Можно воспользоваться настройками по умолчанию (в них указывается только интенсивность запросов в секунду) и сразу начать сканирование.
После завершения сканирования будет предложено скачать отчет о проделанной работе:
Проверка завершена!Нажмите на кнопку (какую), чтобы сохранить отчёт о проверке на жёсткий диск.По соображениям безопасности мы не рекомендуем публиковать отчёты Manul в открытом доступе.
Теперь полученный лог отчета загружаем в анализатор на сервере яндекса. После обработки будет выведен отчет обо всех файлах сайта. Каждый файл может быть отмечен как чистый (белый маркер), подозрительный (желтый маркер) и зараженный (красный маркер).
Также с каждым файлом можно произвести действия (поместить в карантин или удалить), а также посмотреть участок кода, который был распознан как подозрительный или опасный
После того, как выбраны файлы на удаление, скопируйте предписание и поместите в поле “Предписание”, которое скрывается под вкладкой “Лечение” в интерфейсе Манула.
После завершения всех операций над файлами сайта, антивирус можно удалить кнопкой “Удалить Manul”.
PS: Крайне рекомендуется перед проведением операций над файлами сайта сделать резервную копию.
firstvds.ru