Антивірусне сканування на платформі хостингу

Зловмисники роблять постійні спроби встановлення шкідливого коду на чужі сайти. Він використовується для зловмисної активності: розсилання спаму, мережевих атак, подальшого інфікування чужих ресурсів. Найчастіше це відбувається через крадіжку паролів до FTP та панелей управління хостингом, а також через вразливості у популярних CMS: WordPress, Joomla!, Drupal.

Така активність кіберзлочинців заважає нормальному функціонуванню як ваших сайтів, так і сайтів інших клієнтів. Тому кілька разів на добу на платформі хостингу здійснюється автоматичне сканування нових файлів щодо наявності в них шкідливого коду. У разі виявлення автоматично вживаються заходи для його видалення, а клієнту надсилається відповідне повідомлення наступного зразка:

FILE HIT LIST:
{HEX}php.base64.v23au.186 :
/var/www/example/data/www/example.com/administrator/modules/xml.php
=> /usr/local/maldetect/quarantine/xml.php.2618924006
{HEX}php.base64.v23au.186 :
/var/www/example/data/www/example.com/administrator/modules/mod_multilangstatus/dir56.php
=> /usr/local/maldetect/quarantine/dir56.php.104017012
{HEX}base64.inject.unclassed.7 : /var/www/example/data/www/example.com/index.php
=>
/usr/local/maldetect/quarantine/index.php.1993330613
{HEX}php.base64.v23au.186 :
/var/www/example/data/www/example.com/components/com_contact/controllers/login.php
=> /usr/local/maldetect/quarantine/login.php.2603530476
{HEX}base64.inject.unclassed.7 :
/var/www/example/data/www/example.com/includes/framework.php
=> /usr/local/maldetect/quarantine/framework.php.260901782

Що робити, якщо ви знайшли шкідливий код на сайті?

На жаль, простого видалення шкідливого коду недостатньо. Необхідно вжити заходів для унеможливлення повторного інфікування вашого сайту: оскільки у зловмисників ця процедура автоматизована, то «реінфікування» може статися швидко. Тому:

• Клієнту слід призначити нові надійні паролі для доступу до FTP та панелей керування хостингом, вживши заходів для унеможливлення компрометації цих паролів. Зокрема, вони мають бути унікальними, наприклад, не співпадати з паролями до електронної пошти. Не записувати паролі в популярних клієнтах FTP: їхня система зберігання конфіденційних даних такого роду дуже ненадійна.
• Другим важливим кроком є оновлення CMS на сайті до останньої актуальної версії для усунення вразливостей. Як це краще зробити, можна дізнатися на веб-сайті розробників. Також важливо оновити не лише саму CMS, а й усі встановлені у ній розширення, доповнення, теми тощо.
• Клієнтам рекомендується регулярно оновлювати CMS. З одного боку, це дозволяє уникнути інфікування в принципі, а з іншого – оновлення між мінорними версіями створює менше проблем і проходить гладкіше. У той час як старі CMS (наприклад, ті, яким вже більше року з дня релізу) – це ласа мета для зловмисників, ймовірність появи проблем при оновленні CMS є значно вищою.

Після того, як усі необхідні заходи вжито, слід повідомити про це службу підтримкиSIM-Networks. Це важливо, оскільки в іншому випадку, за відсутності будь-якої зворотної реакції з боку клієнта та виявлення інцидентів повторного інфікування, функціонування сайту може бути призупинено.

У сканера можливі помилкові спрацьовування, тобто ситуації, коли легітимний код може бути прийнятий за шкідливий. Найчастіше таке трапляється, коли розробники застосовують різні прийоми для захисту своєї інтелектуальної власності. У такому випадку необхідно зв'язатися зі службою підтримки, пояснити, для чого ці файли потрібні. Вони будуть відновлені та внесені до списку винятків.

Сподобалася стаття?