Антивирус для сайта

В настоящее время все антивирусные решения, направленные на лечение и защиту сайтов, можно перечислить на пальцах одной руки. Проблема создания универсального антивируса для сайта связана с тем, что невозможно автоматизированными средствами на 100% вылечить сайт после взлома.

невозможно автоматизированными средствами на 100% вылечить сайт после взлома

Если несколько лет назад вирусы и хакерские шеллы представляли собой отдельные скрипты с открытым кодом, то современный вредоносный код и вирусы – это в большинстве случаев обфусцированные (зашифрованные) фрагменты, которые внедряются в исходный код оригинальных скриптов сайта (не обязательно в начало или в конец файла), а также часто инжектируются непосредственно в базу данных.

Антивирус для сайта. Вредоносный код.

Для того, чтобы контролировать сайт, порой, достаточно вот такого небольшого фрагмента, внедренного в любой рабочий скрипт.

Антивирус для сайта. Вредоносный код.

Иногда вирусный код так искусно маскируется под легитимный, что даже специалисту приходится потратить значительное время, чтобы в результате аудита исходного кода выявить хакерскую “закладку”, бэкдор или загрузчик. Код в этом случае может выглядеть как вполне безобидный и не вызывать подозрений, тем более не детектироваться антивирусами.

Антивирус для сайта. Вредоносный код.

Удалить такой код автоматически и не «сломать» сайт в большинстве случаев – невозможно. Это под силу только специалисту, который может провести анализ вредоносного кода, выявить вирусный фрагмент и удалить его специальными средствами в полуавтоматическом или ручном режиме.

Зачем тогда нужны антивирусы для сайтов? Понятие “антивируса” применительно к сайту не совсем корректно. Правильнее называть подобные решения - сканером вредоносного кода, так как антивирус должен не просто обнаруживать код, а еще и «лечить» сайт. Но практика показывает, что эффективных решений для лечения сайта в настоящий момент нет, а те, которые представлены на рынке – не вылечивают сайт от всех бэкдоров, веб-шеллов, вирусных вставок в базе данных, загрузчиков: они могут удалить 70-80% типовых заражений по известных сигнатурам, но для лечения сайта должно быть удалено 100%, в противном случае произойдет “рецидив” и придется выполнять лечение сайта сначала, или сайт останется в базах десктопных антивирусов или будет заблокирован сервисами Safe Browsing поисковых систем. Заявленная возможность лечения сайта в антивирусе для сайта - это скорее маркетинговый ход, чем инновационное решение. Поэтому пока самым действенным методом лечения сайта после взлома является автоматизированное сканирование + ручной анализ + полуавтоматическое лечение по собранной информации. И в этом могут помочь сканеры вредоносного кода.

Задача современного сканера – не столько вылечить сайт, сколько максимально облегчить работу специалисту, выполняющему лечение сайта. То есть обнаружить максимальное число зараженных файлов или фрагментов в базе данных и упростить анализ обнаруженного кода (по возможности сразу расшифровать его). Сканеры эффективно справляются с поиском вирусов и вредоносного кода на взломанных и зараженных сайтах. Одно из таких эффективных – это сканер AI-BOLIT. Он умеет обнаруживать разные классы вредоносного кода: вирусы, веб-шеллы и другие хакерские скрипты, фишинговые страницы, бэкдоры, популярные уязвимости в скриптах и многое другое. Вместе с дополнительным ручным анализом он дает высокую эффективность при лечении сайта.

Отдельно хотелось бы акцентировать внимание на антивирусах для компьютеров и мобильных устройств. Нужно понимать, что вирус вирусу рознь. Вредоносный код для компьютеров отличается от вредоносного кода для сайтов. База антивирусов содержит информацию о компьютерных троянах, кейлоггерах и других вредоносных программах, которые в большинстве случаев не имеют ничего общего с вирусами на сайте. Большая удача, если в архиве взломанного сайта десктопный антивирус обнаружит вредоносный код. По нашим наблюдениям он может найти только известные хакерские шеллы или вирусные вставки с забаннеными доменами. Это примерно 30% от всего вредоносного кода, который может быть загружен хакером на взломанном сайте. Поэтому плохая практика использовать десктопные антивирусы для лечения сайта, они для этого не предназначены, как бы хорошо они не лечили компьютер.