ENG    РУС

Все заметки блога »

Новая версия AI-BOLIT 20151008

Закажите лечение сайта и защиту от взлома у специалистов

Контроль целостности сайта

Сканер вирусов и хакерских скриптов – это, безусловно, удобный инструмент для анализа взломанного ресурса или проверки сайта на вирусы. Но правда жизни такова, что сканер не может детектировать 100% вирусов, так как разработчики вредоносов всегда опережают разработчиков антивирусных программных продуктов (придумывают хитрые защиты от детектирования, шифруют и обфусцируют вредоносный код и пр). Поэтому гарантий, что сканер обязательно найдет все проблемы, дать может только антивирусный маркетолог :-) В реальной жизни хороший вирусный сканер приближается к 100%, но никогда их не достигает.

контроль целостности

Какие есть варианты для того чтобы снизить вероятность пропуска вредоносных скриптов? Один из них – проведение дополнительной ручной проверки специалистом. ИБ специалист, используя экспертизу, может найти то, что сканер не обнаружит (например, вредоносные фрагменты в базе данных или то, что подгружается динамически с удаленного сервера). Но вместе с тем, есть и более простой вариант – использовать механизм контроля изменений (так называемый “контроль целостности”) для сайта.

Он работает очень просто: в некоторый момент времени вы создаете эталонный снимок файлов и каталогов, а затем периодически выполняете сверку текущей фаловой системы с тем, что сохранено в эталонном снимке. Разница покажет добавленные, удаленные или измененные файлы и каталоги. Так можно отследить в том числе и появление хакерских скриптов и вирусов в файлах.

Идеальный вариант, если вы пользуетесь контролем целостности с момента запуска сайта. То есть перед публичным анонсом своего проекта подготовили эталонный снимок со всеми файлами и каталогами. А затем на регулярной основе проверяете, что на сайте изменилось. В этом случае даже если сайт взломают и внедрят вредоносный код в системные файлы, вы всегда сможете определить, в какие именно, так как контроль целостности покажет все изменения.

Как можно выполнять контроль целостности для сайта?

  1. с помощью плагинов и штатных средств CMS (для Wordpress, Joomla, DLE есть плагины, в Битриксе есть встроенный механизм в админке)
  2. с помощью систем контроля версий (например, положить сайт под git или cvs)
  3. с помощью сканера AI-BOLIT

В этой версии сканера AI-BOLIT появилась возможность подготовить базу данных файлов и каталогов, а затем следить за их изменениями (при регулярном запуске сканера на хостинге, например, по cron).

Если запустить сканер в режиме командной строки с параметром --imake, в каталоге будет создан файл базы данных. Пример запуска для сканирования

php ai-bolit.php --imake --idb=AI-BOLIT-INTEGRITY.db --path=/var/www/site.ru/ --exclude=jpg,png,gif,tmp

Если запустить сканер в режиме командной строки с параметром --icheck, то будет произведена сверка текущих файлов и каталогов с тем, что было сохранено ранее.

php ai-bolit.php --icheck --idb=AI-BOLIT-INTEGRITY.db --path=/var/www/site.ru/

В отчете AI-BOLIT отображаются измененные, новые и удаленные файлы и каталоги. Если у файлов изменится какой-то атрибут, это также будет отражено в отчете.

Проблемой для контроля за изменениями являются часто обновляемые сайты, на которых пользователи постоянно загружают различные файлы, администраторы и контент-менеджеры размещают картинки, документы и т.п. В этом случае рекомендуем грамотно настроить исключения, чтобы данные файлы не попадали в базу и не создавали своеобразный “шум” при проверке изменений. Исключать можно как фрагменты путей (с помощью файла .adirignore), так и отдельные расширения (с помощью опции --skip)

Через браузер также можно использовать опцию imake и icheck (http://site.ru/ai-bolit.php?p=hBdgd2mJdn4&imake), но мы не рекомендуем это делать, так как времени на сверку относительно большого сайта при запуске через браузер может не хватить. Также в этом случае пользователь лишается гибких механизмов исключений и параметров запуска, которые доступны в режиме командной строки.

Версия для Windows и Mac OS X

Чуть больше месяца назад была анонсирована версия сканера для Windows. В действительности это не какая-то отдельная версия, а сборка PHP5.5 + AI-BOLIT, позволяющая запускать сканер на своем компьютере и проверять резервные копии своих сайтов. Изначально использовалась версия PHP для платформы Win x64, в новой версии поддерживаются как 64-разрядные, так и 32-разрядные Windows.

Хотелось бы отметить, что сканер AI-BOLIT написан на PHP и работает на любой операционной системе, где есть PHP интерпретатор, в том числе и на Mac OS X. Для запуска под Mac нужно установить PHP через программу Terminal (sudo apt-get install php5-cli или так), а затем работать со сканером в режиме командной строки.

Интеграция сканера в панели хостеров

Прогрессивные хостинг-компании уже интегрировали сканер AI-BOLIT в свои панели управления. Пользователи одной кнопкой могут запустить проверку сайта на вирусы и взлом. Выглядит это так

интеграция сканера AI-BOLIT у хостера

или так

интеграция сканера AI-BOLIT у хостера

Если на вашем хостинге этого пока нет, а сами вы затрудняетесь проверить свой сайт на вирусы качественным сканером, который наиболее эффективно обнаруживает хакерские скрипты, бэкдоры, вирусы, дорвеи, фишинговые страницы, спам-ссылки и пр., попросите сделать это тех поддержку вашего хостинга.

Читайте другие заметки блога.

Обсуждаем!

Подпишитесь на RSS: