Что должен уметь качественный сервис диагностики сайтов на вирусы и взлом

В сети можно найти много сервисов, которые обещают поиск вирусов и вредоносного кода на сайте. Эти сервисы используют внешнее сканирование сайта без доступа к хостингу. То есть для проверки нужен только адрес сайта. Сервис проверяет страницы сайта на вредоносные вставки, подозрительные фрагменты кода, редиректы и т.п. и выдает отчет, что он обнаружил плохого.

С одной стороны, это удобно и доступно, так как можно оперативно проверить сайт на вирусы прямо в браузере и не нужно предоставлять доступы третьим лицам. Но с другой стороны, с помощью подобных сканеров можно определить только последствия взлома и компрометации ресурса. То есть уже конкретные проявления вредоносной активности: размещенный вирусный код, перенаправление мобильных пользователей, загрузку вредоносного приложения, фишинговые страницы, дефейс и т.п. А вот хакерские шеллы, бэкдоры, спам-рассыльщики и другие скрипты, которые внешне себя не проявляют, с помощью подобных веб-сканеров не найти. Но для быстрой диагностики сайта этого может и не требоваться.

Выясним, какими критериями должны обладать качественные сервисы поиска вирусов на сайте и почему.

  1. Выполнять статическую и динамическую проверку страниц, потому что вирусы – это не только фиксированные инжекты в коде страницы, но и вставки, которые могут появляться эпизодически, или только для конкретных браузеров, или только при переходе с поисковой системы, или по каким-то другим причинам. В последнее время происходит перенаправление посетителей на вирусные сайты или сайты wap-click партнерок, при этом перенаправление выполняется с помощью javascript кода, который сработает только в браузере и только при определенных условиях. Если сервис проверяет одну страницу, да еще и каким-нибудь Curl или file_get_content(), такой редирект поймать не получится. Более продвинутые сервисы подключают PhantomJS, который при диагностике эмулирует браузер посетителя, но и в нем есть много ограничений, которые не позволят определить часть клиентских вредоносных скриптов. Сервис сканирования должен уметь посылать различные диагностические запросы, эмулируя заходы реальных посетителей на проверяемый сайт, отслеживать изменения в коде, что происходит на странице после загрузки, выполнять навигацию, клики и т.п. Только так можно достоверно определить заражение сайта.

  2. Определять вирусы на страницах посредством актуальных сигнатур и свежей базы опасных доменов, потому что сигнатуры быстро устаревают, а разработчики вирусов придумывают различные способы обфускации кода, чтобы они не определялись по сигнатурам. Хороший сервис использует сразу несколько индикаторов вредоносного кода.

  3. Определять вирусы в подгружаемых файлах (ресурсах и скриптах), поскольку вирус может быть не только в самой HTML странице, но и подгружаемых скриптах. Причем скрипты могут загружаться как с домена сайта, так и с внешних сервисов (через серию перенаправлений и javascript-вставок). Поэтому если сканер не умеет проверять динамически-загруженные объекты (скрипты, стили, flash-объекты), то вероятность обнаружения вирусов невелика.

  4. Определять вставки объектов с опасных сайтов в коде страницы и подгружаемых скриптов, потому что для заражения компьютера или мобильного устройства пользователя достаточно загрузки картинки со стороннего сайта, который распространяет вредоносный код. Зная это, антивирусные сервисы ограничивают доступ к веб-ресурсам, если они загружают скрипты, изображения, стили и т.п. с вредоносных сайтов.

  5. Детектировать скрытые мобильные и поисковые редиректы, потому что современные редиректы почти всегда возникают только для посетителей, удовлетворяющих определенным критериям. Например, только если посетитель сайта пришел на страницу с поисковой выдачи, и при этом он пользуется Android устройством и выходит в интернет через 3G/LTE подключение. В других случаях редирект не сработает. Скажем прямо, подобные случаи мало кто умеет детектировать автоматизированными средствами.

  6. Проверять сайт по черным спискам Google Safe Browsing/Безопасного Поиска Яндекса/VirusTotal, потому что если сайт в черном списке, то у него была или есть проблема безопасности.

  7. Определять внешние ссылки и спам-контент, потому что частым следствием взлома является размещение спам-контента на страницах сайта.

  8. Определять опасные виджеты и недобросовестную рекламу, потому что веб-мастера часто не подозревают, что размещенный виджет несет угрозу для посетителей сайта, а при взломе сайта злоумышленник часто внедряет рекламный код какой-нибудь «серой» партнерской программы со скрытыми редиректами на сомнительные ресурсы.

  9. Минимизировать число ложных срабатываний, потому что если сервис бьет тревогу при обнаружении любой IFRAME вставки, то грош цена такому сервису. Нужно уметь отличать зерна от плевел. Например, не считать опасными редиректы на свои же мобильные версии сайтов, редиректы при кликах по внутренним баннерам и т.п.

  10. Разделять угрозы на критические и предупреждения, потому что это, с одной стороны, минимизирует число ложных срабатываний, с другой стороны, позволяет выполнить более тщательную диагностику проблем безопасности и проанализировать подозрительные элементы и ресурсы.

  11. Позволять сохранять результаты и получать к ним доступ по постоянной ссылке, потому что если владелец сайта не смог разобраться с отчетом самостоятельно, он мог бы переслать его специалистам.

К сожалению, ни один из существующих публичных сервисов не удовлетворяет даже половине перечисленных требований, поэтому мы решили сделать достойное решение, которое позволит веб-мастерам, владельцам сайтов и веб-разработчикам оперативно провести диагностику сайтов на вирусы и другие проблемы безопасности, и который будет работать эффективнее всех существующих «проверялок   на вирусы». Представляем вашему вниманию сервис REVIZORRO Scanner (сайт rescan.pro).

проверка сайта на вирусы и взлом

Сервис rescan.pro реализован на базе платформы REVIZORRO, которой мы давно пользуемся внутри компании для детектирования проблем безопасности и мониторинга клиентских сайтов. Для REVIZORRO был разработан внешний API интерфейс, и теперь технология доступна всем желающим, а сервис rescan.pro является полнофункциональным публичным сервисом проверки сайтов на вирусы и взлом. 

Примеры отчетов нашего сканера можно посмотреть по ссылкам:


Сервис http://rescan.pro