Главная   »   Как чистить сайт от вирусов
Как чистить сайт от вирусов
Автор: Site-Security   
22.12.2012 11:06

 

Как чистить сайт?

Приведе краткий пример, проведем экскурс по этой теме.

Каждый делает это по свойму, мы опишем для Вас основы, что и где искать не имея навыков программирования, и не углубляясь очень глубоко. В этой статье распишем основы и поверхностные методы.

Расписывать уже можно все и как есть, все системы которые ломают с открытым кодом и злоумышленики пользуются специальными программами которые им облегчают работу по проникновению, но об этом тут писать не будем.

Распишем все на примере самых распространненых CMS, многие считают их "дырявыми" хотя это полностью не так, это маркетинг тех кто не может занять такой процент в сигменте сайтостроения, ведь 80% сайтов в России сделано именно на CMS Joomla и WordPress, в мировом сегменте у них тоже первое место. От сюда и масса взламываемых сайтов на этих движках.

Если в мире будет одна CMS и её будут ломать это не зачит, что она "дырявая" и разработчики сидят сложа руки.

Это означает что люди по не знанию либо не желанию, не уважению воего труда, себя и других, просто не следят за сайтами, и не обновляют как положено во время, на те расширения или сами движки, более свежии (актуальные) версии в которых уязвимости устранили.

В большей степени это все по незнанию владельцев (заказчиков),  и расплодившиеся Вебстудии, и как называю "псевдо хостеры (это те кто предлогает размещение у себя на сервере, в свою очередь купленного у хорошего хостера или при создании сайта год-два хостинга бесплатно, и заказчики ведуться на это, такие по на тыкают сотни сайтов себе на сервер, в один прекрасный момент взломав один сайт за которым ни кто не следит инфицыруются все соседнии, и такого рода хостер не уважающий заказчиков думает что у него головная боль, а она в большей степени появляется у заказчиков)". Самая большая проблемма не правельное представление о сайте в целом, многие разработчики CMS ведут не правильный маркетинг, представляя свои творения массовыми бесплатными и как - одна кнопка. Скрывая все остальное, от желающих пользоваться их разработками.

На самом деле не имея представления и знаний тойже информатики (по школьной программе), заниматься сайтом очень трудно, и практически не возможно. То что говорят и пишут некоторые из них о том что работать могут даже бабушки и дедушки, это не так, ни каждая бабушка сможет а та что смогла она одна может оказаться из миллиона.

Каждый должен заниматься своим делом, если речь о сайтостроении то их должны делать те кто умеет это делать. Иначе у нас будет сотня разновидностей соцсетей и сайтов, а об эстетике и говорить не придется. Все будут как "жуки навозные" копаться в ВКонтакте или Однокласниках, искать в Яндексе, и не знать о других сайтах, что они даже существуют.

 

Где может быть Shell?

Shell - это скрипт (утилита) написаный на PHP, который дает доступ к сайту через браузер.

Обычно его заливают в доступные для записи папки, либо маскируют под расширения.

Самые распространенные папки:

  • images
  • logs
  • tmp

и их подпапки.

Папки с шаблонами это вообще отдельный разговор, обычно это

  • templates

Если злоумышленик сначало пробрался в админпанель Вашей CMS, и загрузил shell как дополнительное расширение, то получается что, он замаскировал его под расширения (модуль, плагин, компонент).

В этом случае папки будут:

  • components
  • modules
  • plugins

и подпабки в них, и в редком случае это папка

  • admin
  • administrator

и её подпапка

  • components

Также редкий случай это директория

  • cgi-bin
  • includes

Хотя в папки includes могут распологать не только shell, но и целые сайты, которые загружают на ваш хостинг (в основном написаные на HTML) и спомощью файла .htaccess разрешают выполнение PHP кода в их файлах. Размещение сайтов это бизабидно, влияет только на ваш карман, как в автобусе заяц, ущерба для сайта не приносит только занимают место на вашем сервере.

 

Как выглядит Shell?

Это вопрос ретарического характера, Shell скрипт может иметь очень много вариантов, как в открытом коде так и офсуфицирова (закодирован). И определенно одинакового кода не может быть, каждый написан по свойму и разными разработчиками.

Единственное это они содержат практически одни и теже функции, и если даже его закодируют то весь файл целиком.

Это и помогает в большей степени для поиска "Черного входа".

Сам файл может иметь название начинающееся с точки например .jos_x7s.php или любое другое название, но вначале будет стоять точка, обусловленно это загрузкой таких файлов и потом сменой расширения.

Если файл скрипта маскировали, то он может называться как расширение или как многие файлы на хосте:

  • php.php
  • pop.php
  • view.php
  • default.php
  • save.php
  • edit.php
  • post.php
  • mod_system.php
  • com_hello

Вариантов очень много, и найти практически с первого взгляда не получиться, только там можно найти где таких файлов не должно быть, это директории с файлами картинок, логов, и временные папки. В остальных папках он покажется нужным, но на самом деле это не так.

 

Как выглядит Вирус на сайте?

Вирус на сайте это тоже скрипт, может быть как отдельным файлом так и вставкой в файлы Вашего сайта стороннего кода.

Делится вирусы на несколько видов, и предназначение у каждого свое.

  • редирект

Он разделяется на редирект с поисковых систем, мобильный редирект, редирект с сайта на фишинговые страницы. Вставляется сторонний код скриптов в файлы сайта с расширениями .htaccess, *.js, *.php и при определенных условиях проделываемые пользователями происходит перенаправление по заданному условию. Эта зараза очень сильно влияет на продвижение сайта.

  • вставка ссылок и рекламных банеров

Несет в себе способ наживы на чужих сайтах, вставляются определенные скрипты в файлы сайта, и на Вашем сайте начинается показ сторонней рекламы, про которую вы сами не знаете. Он более бизобидный по отношению к сайту, но влияет на выдачу в поисковых системах.

  • кража данных

В код страниц записывают скрипты, в лучшем случае они перенаправляют пользователя на сайт с вирусом для браузера, в худшем этот вирус размещают у вас, и в том и в другом случае сайт становится не безопасным для посетителей, несет потонциальную угрозу им.