Рано или поздно веб-разработчик, веб-мастер или любой другой специалист, обслуживающий сайт, может столкнуться с проблемами безопасности: ресурс попадает под санкции поисковых систем или начинает блокироваться антивирусом, хостинг может отправить уведомление об обнаружении вредоносного кода, и посетители начинают жаловаться на всплывающую рекламу или перенаправления на «левые» сайты.
На этом этапе возникает задача найти источник проблемы, то есть провести диагностику сайта на наличие проблем с безопасностью.
При правильном подходе диагностика состоит из двух этапов:
- проверка файлов и баз данных на хостинге на наличие серверных вредоносных скриптов и инъекций,
- проверка страниц сайта на наличие вирусного кода, скрытых редиректов и других проблем, которые иногда не могут быть обнаружены статическим сканером файлов.
Что делать в этом случае? На помощь приходят веб-сканеры, выполняющие динамический и статический анализ страниц сайта на наличие вредоносного кода.
Немного теории
Статический анализ страниц — это поиск вредоносных вставок (в основном javascript), спам-ссылок и спам-контента, фишинговых страниц и других статических элементов на проверяемой странице и во включаемых файлах.Обнаружение таких фрагментов осуществляется на основе базы сигнатур или определенного набора регулярных выражений.
Если вредоносный код постоянно присутствует на странице или в загружаемых файлах, а также известен веб-сканеру (то есть добавлен в базу сигнатур), то веб-сканер его обнаружит. Но это не всегда происходит. Например, вредоносный код может быть скачан с другого ресурса или совершить какие-то несанкционированные действия при определенных условиях:
- После завершения загрузки страницы к ней добавляется JavaScript, который выполняет атаку загрузки с диска.
- пользователь уходит со страницы, в этот момент загружается код и открывается попандер со «взрослым» контентом
- посетитель сайта задерживается на странице на несколько секунд и только после этого его перенаправляют на платную подписку на СМС
- и так далее.
Если заранее неизвестно, какой код провоцирует эти несанкционированные действия, то обнаружить его с помощью статического анализа крайне сложно.
К счастью, существует динамический анализ, или его еще называют «поведенческим».
Если веб-сканер умный, он не только проанализирует исходный код страницы или файлов, но и попытается выполнить некоторые операции, имитируя действия реального посетителя.
После каждого действия или при определенных условиях робот-сканер анализирует изменения и накапливает данные для итогового отчета: загружает страницу в нескольких браузерах (причем не просто из разных User-Agents, а с разными значениями объекта навигатора в javascript, различные document.referer и т. д.), ускоряет внутренний таймер, перехватывает редиректы на внешние ресурсы, отслеживает, что передается в eval(), document.write() и т. д. Усовершенствованный веб-сканер всегда проверит код страницы.
и объекты на нем как до начала выполнения всех скриптов (сразу после загрузки страницы), так и через некоторое время, поскольку современные вредоносные программы динамически добавляют или скрывают объекты javascript, а также выполняют фоновую загрузку внутри динамических фреймов.
Например, код зараженного виджета может за 3 секунды или по движению мыши загрузить скрипт, который вставит на страницу javascript с редиректом на загрузку опасного .
apk-файла.
Естественно, никакой статический анализ (кроме того, что заранее известно, что виджет опасен) или поиск файлов этого не выявит. Теперь, понимая требования к диагностике сайта и веб-сканерам, попробуем найти те, которые действительно эффективны.
К сожалению, то, что представлено на первой странице поисковика по запросу «проверить сайт на вирусы онлайн», сразу ни к чему хорошему не приводит. Это либо «поделки», которые в лучшем случае могут выполнить статический анализ страницы (например, найти IFRAME, что может быть неопасным), либо сторонние API-агрегаторы, проверяющие URL сайта на основе Google Safe. API просмотра, API безопасного просмотра Яндекса или API VirusTotal. Если вы проверяете сайт десктопным антивирусом, анализ, скорее всего, тоже будет статическим: антивирус умело блокирует загрузки с известных ему зараженных сайтов, но глубокого динамического анализа страниц сайта от него ожидать не стоит (хотя некоторые антивирусы это делают).
обнаруживать подписи в файлах и на странице).
В итоге, проверив два десятка известных сервисов, хотелось бы остановиться на представленных ниже.
Веб-сканер QUTTERA
Ищет вредоносный код на страницах с помощью безсигнатурного анализа.
То есть он имеет некоторую эвристику и выполняет динамический анализ страниц, что позволяет ему обнаруживать угрозы нулевого дня.
Из приятных особенностей, на которые стоит обратить внимание, это возможность проверять сразу несколько страниц сайта, так как проверка по одной не всегда эффективна.
Хорошо обнаруживает угрозы, связанные с загрузкой или распространением троянов и зараженных исполняемых файлов.
Он нацелен на западные сайты с типичными для них заражениями, но часто помогает при проверке зараженных сайтов Рунета.
Поскольку услуга бесплатная, на обработку задач существует очередь, поэтому придется немного подождать.
Веб-сканер ReScan.pro
Выполняет динамический и статический анализ сайта.
Поведенческий анализ выявляет скрытые редиректы, статический анализ ищет фрагменты вируса на страницах и в загружаемых файлах, а база чёрных списков определяет ресурсы, скачанные с зараженных доменов.
Он переходит по внутренним ссылкам, поэтому помимо основного URL проверяет еще несколько соседних страниц сайта.
Приятным дополнением является проверка сайта по черным спискам Яндекса, Google и VirusTotal. Ориентирован в основном на вредоносное ПО, обитающее в Рунете.
Поскольку услуга бесплатная, лимит проверки составляет 3 запроса с одного IP в сутки.
Веб-сканер Sucuri
Ищет код вируса с помощью сигнатур и эвристики.
Отправляет запросы на несколько URL-адресов на сайте с разными агентами пользователя/реферерами.
Обнаруживает спам-ссылки, дорвеи, опасные скрипты.
Кроме того, он может проверять последние версии CMS и веб-сервера.
Ограничений по количеству проверок не было.
Небольшим недостатком было то, что список проверенных сайтов с результатами индексируется поисковыми системами, то есть видно, какой сайт чем был заражен (в поисковом индексе на данный момент около 90 000 страниц), однако это не умаляет эффективность сканера.
Средство просмотра файлов Redleg
Еще один западный сканер веб-сайтов.
Возможно, он немного пугает своим аскетичным интерфейсом из 90-х, но, тем не менее, позволяет выполнить полный статический анализ сайта и файлов, подключенных к странице.
При сканировании пользователь может установить параметры User Agent, Referer и параметры проверки страницы.
В настройках есть проверка страницы из кеша Google. Ограничений на проверку сайтов обнаружено не было.
Всего вирусов
И, наконец, знакомый многим VirusTotal. Это не полноценный веб-сканер, но его также рекомендуется использовать для диагностики, поскольку он является агрегатором нескольких десятков антивирусов и антивирусных сервисов.
*** Упомянутые веб-сканеры можно добавить в закладки, чтобы при необходимости провести диагностику сразу с помощью эффективных инструментов и не тратить время на платные или неэффективные услуги.
Теги: #вирусный сканер #вирусы на сайтах #диагностика #информационная безопасность #разработка веб-сайтов
-
Физика Низких Температур
19 Oct, 24 -
Склад Интернет-Магазина Amazon
19 Oct, 24 -
Поиск Планет С Помощью Цифровой Камеры
19 Oct, 24 -
Новый Интернет-Поисковик Для Детей
19 Oct, 24
