Мониторинг безопасности и как его делать бесплатно

Для чего вообще нужен мониторинг? Основная его задача – выявить потенциальную проблему до того, как она стала актуальной или узнать как можно раньше о том, что все плохо, то есть когда проблему еще можно исправить оперативно и недорого. А вот если проблему на сайте или сервере просмотреть, то последствия часто бывают фатальными.

В данной заметке речь пойдет не просто о мониторинге сайта, а о мониторинге безопасности сайтов. Если мониторинг доступности отслеживает показатели сайта (не заканчивается ли место на диске, отвечает ли сайт, нет ли ошибок, оформляются ли заказы в интернет-магазине и т.п.), то мониторинг безопасности проверяет сайт на наличие различных угроз безопасности, уязвимостей, бана, проблем конфигурации и заражение вирусами. Сервисов, которые позволяют отслеживать доступность сайта достаточно много, а вот рабочих сервисов мониторинга безопасности практически нет, как и информации о том, из чего этот мониторинг складывается.

Мы постараемся восполнить данный пробел, перечислить важные показатели, которые нужно отслеживать для сайта, а также расскажем, в чем особенности мониторинга безопасности и какими бесплатными инструментами его можно организовать.

Что такое “Мониторинг безопасности”

Основная задача мониторинга безопасности – обнаружение угроз и проблем до того, как их обнаружили антивирусные сервисы, поисковые системы, хостер или посетители.

Например, если на страницах сайта появился вирус, то мониторинг безопасности должен обнаружить его раньше, чем антивирусные сервисы, Яндекс и Google, в противном случае сайт попадет в “черные списки” и доступ к нему будет блокироваться в браузерах и антивирусах, установленных на компьютерах посетителей. Процедура вывода сайта из “черного списка” может занимать от нескольких дней до нескольких недель, и все это время трафик на сайте будет значительно ниже обычного (часто, он «просаживается» на 80%). Если бы мониторинг безопасности показал наличие вируса на страницах сайта, то проблему можно было бы оперативно устранить и избежать бана.

Аналогичная ситуация с рассылкой спам-писем. Обычно о спам-рассылке владелец сервера или сайта узнает от своего хостера, когда уже поздно что-то обсуждать и анализировать, так как хостер заблокировал сайт или по крайней мере отключил почтовый сервис или функцию mail(). В результате отключения почтового сервиса на сайте перестают отправляться почтовые уведомления, не работают регистрация посетителей и формы обратной связи. Если бы владелец сайта имел возможность отслеживать число отправляемых писем, запросы к сайту и трафик на различных портах, можно было бы своевременно обнаружить данную проблему, найти причину и устранить ее. И избежать блокировок.

Проблемы доступности сайта

Доступность сайта в браузере и его штатная работа критически важны для коммерческих ресурсов. Как правило, проблемы безопасности и доступности связаны. Вот несколько примеров:

1. При взлома сервера или сайтов обычно начинается высокое потребление серверных ресурсов:

· процессор нагружается в результате вредоносной активности;

· на диске могут создаваться десятки тысяч файлов с дорвей-страницами или может разрастается лог ошибок, занимая все свободное дисковое пространство;

· создается большое число мелких файлов, что приводит к исчерпанию файловых дескрипторов;

· со взломанных серверов могут атаковать или сканировать другие сайты, что создает большой паразитный трафик, забивая канал.

В результате сайт (сервер) становится полностью недоступен или начинает сильно “тормозить”, а иногда выдавать различные ошибки.

2. Если на зараженном сайте работает скрипт “спам-рассыльщик”, то IP адрес сервера, а возможно и целая подсеть, попадет в “черные списки” таких сервисов, как SpamCop и SpamHaus. Письма с данного IP не будут доставляться адресатам, так как многие почтовые сервера используют базы спаммеров указанных сервисов. Удаление своего IP из почтовой спам-базы иногда очень нетривиальная задача.

3. Если вирусы на страницах сайта угрожают безопасности посетителей, это не останется незамеченным антивирусными сервисами и поисковыми системами. Сайт попадет в базу Google Safe Browsing, Yandex Safe Browsing, и в “черные списки” популярных антивирусов, таких как Касперского, Dr. Web, Avast, NOD32 и пр. В результате бана доступ к сайту будет или полностью закрыт, или частично ограничен в браузерах. А в результатах поиска около сайта будет выводиться “Сайт может угрожать безопасности вашего компьютера”

4. При целевом взломе основной задачей киберпреступника является одно из следующих действий: полное уничтожение сайта, установка “шпиона” или размещение материалов, которые могут создать репутационный вред для ресурса или владельца. Если хакер взломал сервер с целью уничтожения сайта, то он постарается удалить не только сам сайт, но и резервные копии (если они размещены на том же сервере), а также «замести следы», удалив все логи. Если сервер был с единственной копией сайта (и там же были все резервные копии), последствия будут катастрофическими, сайт придется разрабатывать «с нуля».

5. Часто хакеры зарабатывают на взломанных сайтах, монетизируя трафик. Например, они могут разместить код майнера криптовалюты и запускать майнинг на компьютерах посетителей. У посетителя при заходе на сайт будет сильно загружаться процессор и все начнет “тормозить” или даже сайт станет полностью недоступен. Вероятнее всего при регулярных повторениях данной проблемы пользователь перестанет посещать сайт и в целом трафик сайта значительно уменьшится. А еще некоторые антивирусы блокируют доступ к сайтам, на которых работает майнер.

Превентивные меры

Чтобы своевременно обнаруживать проблемы и быстро их решить, необходимо выполнять регулярную проверку “здоровья” сайта. Но делать это нужно с пониманием дела.

Мониторинг безопасности включает несколько элементов:

· Внешнее сканирование страниц сайта

· Внутреннее сканирование файлов сайта

· Контроль целостности файловой системы

· Сканирование уязвимостей, чувствительных файлов и ошибок конфигурации

· Мониторинг доступности

Внешнее сканирование страниц сайта помогает выявить вирусы на страницах (в коде html и javascript-файлов), скрытые редиректы, drive-by атаки на посетителя (скрытые загрузки вредоносных файлов), загрузки с опасных доменов, недобросовестную рекламу и опасные виджеты, спам-ссылки и многое другое. Данная операция выполняется онлайн-сканером, который умеет выполнять не только статический анализ страниц, но также динамический и поведенческий. То есть эмулировать действия реального посетителя, провоцируя активность вирусов и вредоносного кода на странице. Онлайн-сканер сможет обнаружить скрытую подгрузку майнера криптовалюты, мобильный редирект, возникающий при переходе между страницами, подгрузку вирусного кода внутри счетчика посещений.

Внутреннее сканирование файлов сайта позволяет обнаружить взлом и заражение сайта: хакерские бэкдоры, веб-шеллы, фишинговые страницы, дорвеи, спам-рассыльщики. Данные скрипты не видны “снаружи”, поэтому они не смогут быть обнаружены внешним сканированием, так как для этого нужен доступ непосредственно к файлам сайта.

Контроль целостности файловой системы – это отслеживание изменений в файлах сайта, конфигурационных файлах сервера, системных файлах, модулях и других компонентах операционной системы. Сканер файлов не всегда может обнаружить угрозу в файле, так как вредоносный код может быть обфусцированным (зашифрованным) или еще неизвестным файловому сканеру. А вот контроль целостности заметит изменения в файлах и уведомит администратора или владельца сайта об этом. Далее вручную можно будет выявить подмену файла, инъекцию или какие-то другие изменения.

Сканирование безопасности сайта позволяет выявить слабые стороны защиты (или ее полное отсутствие), обнаружить уязвимости, найти ошибки конфигурации, с помощью которых киберпреступники или вредоносные боты смогут скомпрометировать ресурс. Это особенно актуально, когда сайт постоянно дорабатывают, размещают новые модули, меняют настройки.

Мониторинг доступности отслеживает основные показатели сервера и сайта: загрузку процессора, свободное место на диске, скорость отклика сайта и т.п. По косвенными признакам, о которых может сообщить мониторинг доступности, можно сделать вывод о том, что проблемы существуют. И далее уже разобраться, что является их причиной. Иногда это взлом и заражение сайта или компрометация сервера.

Бесплатные инструменты

Готовых бесплатных решений, которые бы совместили в себе все перечисленные требования, в данный момент нет. Но есть много бесплатных утилит и сервисов, на базе которых можно собрать комплект для мониторинга и выполнять регулярные проверки, контроль и учет в полуавтоматическом режиме.

Например, можно использовать следующие инструменты:

· Rescan.Pro в качестве онлайн-сканера для внешнего сканирование сайта

· AI-BOLIT - в качестве сканера файлов для проверки файлов на вирусы

· систему контроля версий github, сервисы ОС aide, ossec, syschangemon для контроля целостности файлов сайта

· инструменты для пентеста (dirbuster, nemesida scanner, w3af, wapiti, sqlmap, arachni) – для выявления проблем конфигурации, уязвимостей и чувствительных файлов

· мониторинг доступности: monit, zabbix


Если вам требуется надежное сопровождение сайта и мониторинг, эту услугу лучше заказать у специалистов.

И помните, что “prevention is better than cure” – легче предупредить, чем вылечить.

Наши услуги ИБ

Акция «2 по цене 1»
Подключите 2 сайта к услуге "Сайт под наблюдением" всего за 5000 2500 / мес. Скидка 50% только в июне.
Акция действует только до 30 июня.
При подключении услуги "Сайт под наблюдением" для одного сайта, второй на том же аккаунте подключается бесплатно. Последующие сайты на аккаунте — 1500 руб в месяц за каждый сайт.