Mi a rosszindulatú kód. Mi a rosszindulatú kód példa script támadás

A webhely vírust kezdett, és mint bármely fertőzött tárgy, a webes erőforrás egy nagy bajforrásgá változott: most nem csak nem csak nyereséget kap, hanem elhagyja az internetes hírnevét, a vevők, a keresőmotorok és még a hírnevét is A Hoster elfordul tőled.

Egyen maradsz a problémájával, és próbálja meg megoldani saját erőkKapcsolat nélkül a szakemberek, de a "szakemberek" tanácsát követően a fórumokról. Vagy rendelje meg a helyszín kezelését, ahol "olcsóbb". Mi a teendő, mert mindig a lehető leggyorsabban megoldja a problémát, és a legkisebb költségekkel. De egy ilyen megközelítés mindig indokolt?

Mutatjuk a figyelmet az elmúlt év legjobb 7 hibái, akik elkövetett egy webmester, megpróbálta visszaállítani a webhely teljesítményét a hackelés és a fertőzés után.

1. hiba száma. A webhely helyreállítása a mentésből, hogy megszabaduljon a rosszindulatú kódtól

Nagyon gyakran, a probléma a fertőzés egy rosszindulatú kód egy webmester próbál megoldani a webhely kickét az utolsó tiszta verzió. És folytassa a webes projekt visszaállítását minden alkalommal, amikor a vírus ismételten érezheti magát. Sajnos, kényelmetlen és nagyon kockázatos lehetőség.

Helyes megoldás: A webhelyet kezelni kell, és védelmet kell tenni a hackelés ellen, hogy elkerüljék az újbóli fertőzést. Először is, a webhely tartalma frissíthető, új bővítmények telepíthetők a webhelyen, a webhely szkriptjeire módosíthatók. Minden visszahúzás azt jelenti, hogy elveszíted az összes közelmúlt napjainak eredményeit. De van egy sokkal fontosabb oka a bíboros harc hackeléssel: mi van, ha egy hacker egy nap úgy dönt, hogy elpusztítsa az oldalon teljesen, mert a hozzáférést a webes erőforrás?

2. hiba száma. Megtévesztés megtévesztés a helyszínen a szankciók alatt

A webhely belép a "fenyegető számítógépbiztonság vagy mobil eszköz... "A helyszínen lévő vírus miatt, vagy átirányítja a fertőzött erőforrások látogatóit. A web varázsló szélvédő, példák fertőzött oldalak jelennek meg, de a trükkös vagy tudatlan webmaster helyett egy probléma megoldása (keresés és törlés rosszindulatú forrás) törli egyes oldalakon azt mutatják keresők fertőzés példa. Vagy opcióként a helyszínen való teljes egészében blokkolja a robots.txt szabályait, naiv módon úgy véli, hogy blokkolja és hozzáférést biztosít a víruskereső bothoz az oldalra.

Helyes megoldás: Meg kell találnia egy vírus kódot a webhelyen, és távolítsa el. Tiltja az indexálás nem csak haszontalan, hanem veszélyes is. Először is, a webhely oldalak leeshetnek a keresési indexből. Nos, és másrészt az anti-vírusszolgáltatás robotja a keresőmotor szabályaitól eltérő szabályok szerint működik, és az indexelés tilalma nem érinti.

3. hiba száma. Egy rosszindulatú kódolvasó használata inkompetens szakértőkkel

A mentéshez vagy más okok miatt a helyszín kezelése elkezdi elvégezni kellően előkészített szakembert, aki nem tudja meghatározni 100% -os, hogy a rosszindulatú kódolvasóhoz rendelt fragmens nagyon veszélyes. Ennek eredményeképpen két szélsőséget lehet megfigyelni: abszolút minden gyanúja a vírus eltávolításra kerül, ami a helyszíni bontást eredményez, vagy rosszindulatú kódot nem teljesen megszünteti, ami ismétlődik.

Helyes megoldás: Nyilvánvaló, hogy a szakembereknek részt kell venniük egy webes erőforrás kezelésében. A rosszindulatú programok jelentése hamis válaszok, mivel ugyanaz a fragmens használható mind a törvényes kódban, mind a hackerben. Minden fájlt elemeznie kell, különben eltávolíthatja a kritikus elemeket, amelyek a webhely hibáihoz vagy teljes lebomlásához vezethetnek. Vagy ellenkezőleg, fennáll annak a veszélye, hogy nem ismeri fel a hacker héjat, ami a webes erőforrás újbóli fertőzéséhez vezet.

4. hiba száma. Az üzenetek figyelmen kívül hagyása (a webmester panelen) a rosszindulatú kód jelenlétében

Értesítés a rosszindulatú kód jelenlétéről a webhelyen a webes varázsló panelen nem állandó lehet. Ma a rendszer azt írja, hogy a vírus a webhelyén, és holnap csendes. A webhely tulajdonosa kellemesebb ahhoz, hogy úgy gondolja, hogy valamilyen hiba történt a rendszerben, és honlapja bármilyen gyanúból van. A gyakorlatban azonban minden rendben van. Vannak különböző fertőzések. A rosszindulatú kód csak egy ideig megjelenhet az oldalon, majd eltűnik. Ez azt jelenti, hogy a webhely ellenőrzése során a keresőmotor víruskereső üvegét, a rosszindulatú programok észlelhetők, és a másik pedig - nem. Ennek eredményeképpen a webmester "pihentető", és elkezdi figyelmen kívül hagyni a veszélyes üzenetet: "Miért vesztegeti az időt a kezelésre, mert a webhely nem blokkolta."

Helyes megoldás: Ha a webhelynek nincs rosszindulatú tevékenysége, valószínűleg a tiéd, a webes erőforrás hackelt és fertőzött. A helyszínen lévő vírusok önmagukban nem jelennek meg. Az a tény, hogy a keresőmotor felfedezte a gyanús kódot a helyszínen, majd a "csendes", nem csak a webmester nem szabad figyelmen kívül hagyni, hanem éppen ellenkezőleg, riasztási jelként kell szolgálnia. Ki tudja, hogyan működik az erőforrás holnap? - Spam, adathalászat vagy átirányítások. Azonnal végre kell hajtania egy webhelyszkennelést a hacker támogatók, a kagylók, a hackelés elleni kezelésére és védelmére.

5. hiba száma. Helyek kezelése Freelancerames-nem profi.

Elvileg a szabadúszókkal való együttműködés ebben a kérdésben nem különbözik más gömböktől. Olcsó - Nem mindig minőségi, de szinte mindig garanciák és szerződéses kapcsolatok nélkül. A legtöbb szabadúszók, akik nem szakosodnak a helyszíni biztonsági kérdésekre, a hacker támadás következményei, de nem az ok - Website sebezhetőségek. Ez azt jelenti, hogy a webhely újra felhasználhatja az újrafelhasználást. Rosszabb, vannak olyan gátlástalan előadók is, akik egy másik rosszindulatú kódot szophatnak a webhelyen, ellopják az adatbázist stb.

Helyes megoldás: Lépjen kapcsolatba egy olyan szakosodott céggel, amely foglalkozik a hackeléssel kapcsolatos helyszínek kezelésével és védelmével. Az ilyen vállalatok alkalmazottai minden nap eltávolítják a rosszindulatú kódot, lásd a vírusok mutációját, és kövessék a hacker támadások evolúcióját. A sötét betörőpiac nem egy helyen van, fejleszti és igényel állandó megfigyelést és releváns választ a helyszín kezelésére és védelmére a jogosulatlan behatolásoktól.

6. hiba száma. Napi / heti eltávolítása Ugyanaz a vírus a webhelyről.

Ez a probléma speciális "rajongóinak" vonatkozik, amelyek készen állnak a hackelés rendszeres hatásainak kiküszöbölésére. Az ilyen webmesterek már tudják, hogy a kódot kifejezetten a webhelyre helyezzék, konkrétan hol és mikor történik. Tehát végtelenül harcolhatsz egy mobil átirányítással, amelyet naponta 09-30-ban vezethet be egy támadónak.htaccess-t, és átirányítja a mobil forgalmát a webhelyre a viagra vagy a pornó értékesítésére. Csak itt van, nem elég: a hacker bot csinál automatikus üzemmódÉs kézi eltávolítási műveletet kell végrehajtania. Végül is őszinte, ugye?

Helyes megoldás: Végtelenül törölheti a következményeket (vírusok, átirányítások stb.), De hatékonyabban ellenőrizze a webhelyet a rosszindulatú és hacker szkriptekhez, távolítsa el őket, és telepítse a védelmet a hackelés ellen, hogy több víruskód ne jelenjen meg. És a kiadott idő, hogy hatékonyabban költeni. A legfontosabb dolog, ne feledje, hogy a hacker már hozzáférhet a webhelyéhez, ami azt jelenti, hogy legközelebb nem korlátozhatja a káros kódot, de használja a webhelyét komolyabb számítógépes bűncselekményekért.

Hiba száma 7. Egy érintett helyszín kezelése víruskereső által a számítógép számára

A "víruskereső" fogalma valamilyen webmesterekhez egyetemesen, és megpróbálnak meggyógyítani egy hackelt és fertőzött webhelyet egy számítógépre szánt víruskeresővel. A webhely biztonsági mentése az antivírus szoftver asztali verziójával történik. Sajnos, ez a kezelés nem tudja megadni a kívánt eredményeket.

Helyes megoldás: Vírusok a helyszínen és a számítógépen - nem ugyanaz a dolog. A webhely ellenőrzéséhez speciális szoftvert vagy hozzáférési szakembereket kell használnia. Asztali vírusvállalkozások, függetlenül attól, hogy mennyire jóak, nem célozzák meg a weboldalakat a vírusokból, mivel adatbázisuk a számítógépen vírusokra és trójaiakra koncentrál.

Ez minden. Ne lépjen ugyanarra a rake-ra!

A rosszindulatú szoftverek forgalmazása weboldalakon keresztül

Kostin Paradise, Kaspersky Lab

Bevezetés. Cybercrime: Trendek és fejlesztés

Az elmúlt években az internet veszélyes helyévé vált. Kezdetben viszonylag kis számú felhasználót hoztak létre, jelentősen meghaladta az alkotói elvárásait. Ma több mint 1,5 milliárd internethasználó van a világon, és számuk folyamatosan növekszik, mivel a technológia egyre inkább megfizethető.

A bűnözők is észrevették ezt a tendenciát, és nagyon gyorsan megértették, hogy az internetet használó bűncselekményeket (most a számítógépes bűnözésnek nevezték) számos jelentős előnye van.

Először is, a számítógépes bűnözés nem kapcsolódik a legnagyobb kockázathoz: mivel nem rendelkezik geopolitikai akadályokkal, a bűnüldöző szervek nehézkesek a bűnözők elkapni. Ráadásul nemzetközi vizsgálatokat és bírósági üzletet folytat nagyobb pénzEzért az ilyen intézkedéseket általában csak különleges esetekben végzik. Másodszor, a számítógépes bűnözés egyszerű: az interneten felajánlott nagy mennyiség "Utasítások" a hacking számítógépek és a vírusok írása, míg nem szükséges speciális ismereteket és tapasztalatot. Itt két fő tényező, hogy fordult kiberbűnözés az ipar, amelynek módosítását úgy számítják ki, sok milliárd dollárt, és ami igazán zárt ökoszisztéma.

És folytató vállalatok adatok védelmére és a szoftver gyártók vezet állandó számítógépes bűnözés elleni küzdelem. Céljuk, hogy az online felhasználókat megbízható védelemmel és biztonságos szoftvert hozzon létre. A támadók folyamatosan változtatják a taktikákat, hogy ellensúlyozzák az elfogadott ellenintézkedéseket, amelyek eredményeként két kifejezett trendek megjelenését eredményezte.

Először is, a rosszindulatú programok elhelyezése nulla napi sebezhetőségekkel, azaz Olyan sebezhetőségek, amelyekre a javításokat még nem hozták létre. Az ilyen sebezhetőségekkel még az ilyen sebezhetőségek is fertőződhetnek meg számítógépes rendszerekamelyek az összes telepítve vannak legújabb frissítésekDe nincsenek különleges védelmi megoldások. A nulla napi sebezhetőség értékes termék (használatuk potenciálisan komoly következményekkel járhat), a fekete piacon több tízezer dollárért kerül értékesítésre.

Másodszor, éles növekedést mutatunk a dalware mennyisége által kifejezetten a bizalmas információk lopásának, hogy tovább értékesítsék a fekete piacon: hitelkártyaszámok, banki adatok, jelszavak az oldalakhoz való hozzáféréshez, mint például az eBay vagy PayPal, és még Jelszavak online -igra, például a World of Warcraft.

A számítógépes bűnözés ilyen hatókörének egyik nyilvánvaló oka a jövedelmezőség, amely mindig motorja lesz az új számítógépes bűnözési technológiák létrehozásában.

Amellett, hogy a Cybercriminals igényeire vonatkozó fejlesztések mellett egy másik tendenciát észlelünk - a rosszindulatú programok terjedése a világhálón keresztül. Miután az elmúlt évtized kezdete után az ilyen postai férgek Melissa, sok vállalat - az információs védelmi rendszerek gyártói összpontosították erőfeszítéseiket olyan megoldások fejlesztésére, amelyek semlegesíthetik a rosszindulatú beruházásokat. Néha arra a tényre vezetett, hogy az összes végrehajtható mellékletet eltávolították az üzenetekben.

Azonban a rosszindulatú programok terjesztésének fő forrása a malware fő forrása lett. A rosszindulatú programok weboldalakra kerülnek, majd a felhasználók csalárd módon okoznak manuálisan futtatják őket, vagy ezek a programok a kizsákmányolásokat automatikusan végrehajtják a fertőzött számítógépeken.

Mi vagyunk a "Kaspersky Lab", ahol egyre növekvő riasztást figyelünk meg, mi történik.

Statisztika

Az elmúlt három évben figyeltük az úgynevezett tiszta weboldalakat (100 000-ről 300 000) arra, hogy meghatározzuk, hogy milyen pontra váltak a rosszindulatú programok terjesztési pontjai. A lánctalpas webhelyek száma folyamatosan nőtt, mivel új domainek regisztráltak.

A táblázat azt mutatja, a regisztrált legnagyobb fertőzési arány weboldalak lánctalpas az év során. Nyilvánvaló, hogy a fertőzött helyszínek részesedésének éles növekedése: Ha 2006-ban húszezer, akkor 2009-ben fertőzött, 2009-ben megfertőzött minden egyes helyszínen százötven. A fertőzött helyszínek százalékos aránya az utolsó számjegy területén változik, ami a telítési pont elérését jelenti: minden fertőzött webhely fertőzött. Azonban a számuk növekszik vagy csökken, mint új sebezhetőségek, vagy olyan új eszközök megjelenése, amelyek lehetővé teszik a támadók számára, hogy megfertőzhessenek új weboldalakat.

A következő két táblázat tartalmaz adatokat a rosszindulatú programokról, amelyek leggyakrabban 2008-ban és 2009-ben találkoznak.

10 vezető malware - 2008

10 vezető rosszindulatú programok - 2009

2008-ban a trójai program trojan-clicker.js.agent.h számos esetben található. Mögötte 1% -nál kevesebb, mint 1% a trojan-downloader.js.iframe.oj.

Oldal, fertőzött trojan-clicker.js.agent.h

Fodded trojan clicker.js.agent.h

A trojan-clicker.js.agent.h egy tipikus példa a 2008-ban használt mechanizmusra, és még mindig használják (2009-ben) a rosszindulatú kód bevezetésére. Egy kis JavaScript részletet adnak hozzá az oldalhoz, amelyet általában az obsuscationsnek kell alávetni annak érdekében, hogy megnehezítsd. A fenti ábrán bemutatott kódban az Obfuscation egyszerűen az ASCII karakterek helyettesítése, amelyek rosszindulatú kódot, hex kódjaikat alkotják. A kód visszafejtése után általában egy lebegő keret (iframe), amely az oldalhoz vezet, amelyen a kizsákmányolások találhatók. Az IP-cím, amelyen a link elvégezhető, változhat, mivel a kizsákmányolást számos különböző webhelyre helyezik. A főoldal A rosszindulatú weboldal általában kizsákmányolja az IE, a Firefox és az operát. Trojan-downloader.js.iframe.oj hasonló a rosszindulatú program második gyakoriságához.

2009-ben két érdekes eset volt, amikor a rosszindulatú programokat weboldalakon keresztül osztották el. Az első esetben a net-worm.js.aspxor.a-ről beszélünk, először 2008 júliusában felfedeztük és 2009-ben széles körben elterjedt. Ez a malware egy speciális segédprogram segítségével megtalálja az SQL sebezhetőséget olyan weboldalakon, amelyeken keresztül a rosszindulatú lebegő keretek bemutatják.

Egy másik érdekes eset egy rosszindulatú gumblar program. A kínai domain nevét nevezte meg, amely kihasználja a kizsákmányolását. A „Gumblar” karaktersorozatot a ködösítés a JavaScript kód, „levetkőzött”, hogy a honlapon, egy hűséges jele, hogy a webhely fertőzött.

Példa a Gumblar kód bevezetésére a webhely oldalra

Deoballing után a Gumblar rosszindulatú kódja így néz ki:

Dekódolt gumblar kód

A "Gumblar.cn" tartományt zárva tartották, amely azonban nem akadályozta meg a Cybercriminals-t, hogy folytassák az új domainek rosszindulatú támadásait.

A fertőzés és az elosztási módszerek módszerei

Jelenleg három fő módja van a rosszindulatú programok fertőzésére.

Az első népszerű módszer az, hogy magának a webhely sérülékenységeit használja. Például az SQL kód végrehajtása, amely lehetővé teszi, hogy rosszindulatú kódot adjon hozzá a webhely oldalon. Támadás eszközök, mint például a trójai ASPXOR egyértelműen bizonyítják, a mechanizmus működésének ez a módszer: fel lehet használni a tömeges szkennelés és végrehajtása rosszindulatú kódot ezer IP-címek egyszerre. Az ilyen támadások nyomai gyakran láthatók a webszerver hozzáférési naplókban.

A második módszer magában foglalja a weboldal fejlesztő számítógépének fertőzését, amely figyeli a HTML fájlok létrehozását és betöltését, majd a rosszindulatú kódot a fájlokhoz hajtja végre.

Végül egy másik módszer a trójai fertőzése, a kormány jelszavak (pl. Ransom.win32.agent.ey) a weboldal fejlesztő számítógépének vagy más személynek a tárhely fiókhoz való hozzáféréssel. Az ilyen trójai általában a HTTP-kiszolgálónak címezték, hogy jelszavakat adjunk az FTP-fiókokba, amelyeket a népszerű FTP-ügyfelek, például a FileZilla és az ArmyFTP gyűjti. A kiszolgálón található rosszindulatú program egy összetevője rögzíti a kapott információkat az SQL adatbázisba. Azután különleges programA kiszolgálón is elhelyezi, végrehajtja a bejelentkezési eljárást az összes FTP-fiókhoz, kivonja az indexoldalt, hozzáadja a trójaival fertőzött kódot, és visszaadja az oldalt.

Mivel az utóbbi esetben a fogadó szolgáltató fiókadatait ismerteti a támadóknak, majd ismételt helyszínek fertőzése gyakran zajlik: weboldal fejlesztők figyelmezteti a fertőzést, vagy megtudja róla a helyszíni látogatók, tisztítsa meg az oldalt a rosszindulatú kódtól, És másnap az oldal ismét fertőzött.

Példa egy weboldal újrafertőzésére (*. *. 148.240)

Egy másik közös helyzet akkor, ha egyidejűleg ugyanazokkal a sérülékenységgel vagy fiókadatokkal kapcsolatos információk egyidejűleg a különböző cybergroupok kezébe esnek, amelyek között a küzdelem megkezdődik: Minden csoport arra törekszik, hogy fertőzze meg a webhelyet rosszindulatú programjával. Itt van egy példa egy ilyen helyzetre:

A weboldal többszörös fertőzésének példája (*. * 176.6) különböző rosszindulatú programokkal

06/11/2009 A megfigyelt weboldal tiszta volt. 07/05/2009 Van egy rosszindulatú program trojan-clicker.js.gent.gk. 2009/15/15/2009 A weboldal egy másik rosszindulatú, trójai-downloader.js.iframe.bin fertőzött. Tíz nappal később a webhely egy másik programmal fertőzött.

Ez a helyzet gyakran megtalálható: a weboldalak egyidejűleg fertőzhetnek különböző rosszindulatú programokkal, amelynek kódját egyenként helyezzük el. Ez akkor történik, ha az adatok különböző cybergroupok kezébe kerülnek.

A következőknek olyan tevékenységek sorozata, amelyet meg kell valósítani, ha a weboldal rosszindulatú kóddal fertőzött:

• Telepítse, hogy ki férjen hozzá a tárhely-kiszolgálóhoz. Indítsa el számítógépeiket az internetes biztonsággal egy releváns adatbázissal. Az összes észlelt rosszindulatú program törlése
• Telepítse az új megbízható tárhely jelszót. Megbízható jelszó A kiválasztásának bonyolításához karakterek, számok és specializátorokból kell állnia
• Cserélje ki az összes fertőzött fájlt tiszta példányokkal
• Keresse meg az összes biztonsági másolatot, amely tartalmazhat fertőzött fájlokat és gyógyítja őket.

Tapasztalataink azt mutatják, hogy a kezelés utáni fertőzött weboldalakat gyakran re-fertőzésnek vetik alá. Másrészt ez általában csak egyszer történik: ha az első fertőzés után a webmester viszonylag felszíni akciókat korlátozhat, akkor újrafertőzött, általában komolyabb intézkedést igényel a helyszín biztonságának biztosítása érdekében.

Evolution: Malware programok elhelyezése a "tiszta" weboldalakon

Néhány évvel ezelőtt, amikor a CyberCriminals elkezdték aktívan használni az internetet, hogy rosszindulatú programokat helyezzen el, általában az úgynevezett visszaélő hostingen vagy hostingen keresztül működtek, ahol kódolt hitelkártyákkal fizetik. Észrevegye ezt a tendenciát, az internetes biztonság területén dolgozó vállalatok, valamint az erőfeszítéseiket a gátlástalan hosting szolgáltatók elleni küzdelemben, amelyek lehetővé teszik a rosszindulatú erőforrások elhelyezését (például az American Hosting Provider McColo és az Észt szolgáltató Estromains. És bár ma vannak még mindig vannak ügyek Ha vannak olyan esetekben, akiknek rosszindulatú programjai vannak pontosan a rosszindulatú helyeken, például Kínában, ahol még mindig nehéz lezárni a webhelyet, fontos forduljon a "tiszta" és a teljes megérdemelt domain bizalom elhelyezésére.

Cselekvés és reakció

Mint már beszéltünk, az egyik legfontosabb szempont a Cybercriminals és az Anti-Virus Solutions gyártók közötti állandó küzdelem egyik legfontosabb szempontja, hogy gyorsan reagáljon az ellenfélnek. Mindkét fél folyamatosan megváltoztatja a küzdelem taktikáját és az új technológiák működését, megpróbálják ellensúlyozni az ellenséget.

A legtöbb webböngésző (Firefox 3.5, Chrome 2.0 és Internet Explorer 8.0) az URL-szűrő formájában van beágyazva. Ez a szűrő nem teszi lehetővé a felhasználó számára, hogy olyan rosszindulatú webhelyeket adjon meg, amelyek kiaknázzák az ismert vagy ismeretlen sebezhetőségeket, valamint a személyes adatok lopásának szociális mérnöki módszereit.

Például a Firefox és a Chrome a Google Biztonságos Böngészés API-t használ, szabad szolgáltatás A Google-tól az URL-ek szűrésére. Az írás idején a Google Biztonságos Böngésző API listája körülbelül 300 000 címet tartalmazott híres rosszindulatú weboldalakról és több mint 20.000 adathalász weboldalakról.

A Google Biztonságos Böngészés API fenntartja az URL-ek szűrésének racionális megközelítését: ahelyett, hogy minden egyes URL-t külső erőforrásra küldné, hogy ellenőrizze, hogyan teszi lehetővé az adathalászszűrőt az Internet Explorer 8-ban, a Google Biztonságos böngészés ellenőrzi az URL-eket az ellenőrződések szerint, a MD5 algoritmus. Annak érdekében, hogy az ilyen szűrési módszer hatékony legyen, rendszeresen frissíteni kell a rosszindulatú címek ellenőrzési összegeit; A frissítések 30 percenként ajánlottak. Ennek a módszernek a hátránya a következő: A rosszindulatú webhelyek száma nagyobb, mint a listában szereplő bemenetek száma. A lista méretének optimalizálása (most körülbelül 12 MB), csak a leggyakoribb rosszindulatú helyek jönnek ott. Ez azt jelenti, hogy még akkor is, ha hasonló technológiákat támogató alkalmazásokat használ, a számítógép még mindig a fertőzés veszélye, amikor rosszindulatú webhelyeket látogat, amelyek nem adták meg a listát. Általánosságban elmondható, hogy a biztonságos navigációs technológiák széles körű használata azt mutatja, hogy a webböngésző fejlesztők figyelmet fordítottak arra, hogy új tendenciát terjesszenek a rosszindulatú programok terjesztésére weboldalakon keresztül, és válaszoljanak. Valójában a beépített védelemmel rendelkező webböngészők már válnak a normákhoz.

Következtetés

Az elmúlt három évben a rosszindulatú programokkal fertőzött törvényes weboldalak száma drámaian nőtt. Napjainkban az interneten fertőzött weboldalak száma százszor több mint három évvel ezelőtt. A gyakran látogatott webhelyek vonzóak a számítógépesciminalusok számára, mert a segítségük rövid idő alatt nagyszámú számítógépet fertőzhet meg.

A webmesterek számos egyszerű tippet kínálhatnak a weboldalak biztosításához:

• Védje a hosting számlákat megbízható jelszavakkal
• A fájlok kiszolgálókra történő letöltéséhez használja az SCP / SSH / SFTP protokollokat az FTP helyett - így megvédi magát az interneten lévő jelszavak küldéséből a nyílt szövegben.
• Telepítse a víruskereső terméket, és futtassa a számítógép ellenőrzését.
• Rengeteg többszörös biztonsági másolat van a raktáron, hogy képes legyen visszaállítani a fertőzés esetén.

Az interneten való navigálás során számos olyan tényező van, amelyek növelik a fertőzés kockázatát egy rosszindulatú kóddal egy weboldalról: a kalózszoftver használata, figyelmen kívül hagyva a szoftverek által használt biztonsági réseket, az anti-vírusellenes megoldások hiányát és az általános tudatlanságokat vagy a hiányos megértést fenyegetések az interneten.

A Pirate programok jelentős szerepet játszanak a rosszindulatú programok terjesztésében. Pirate Másolatok Microsoft Windows.általában nem támogatják automatikus frissítésekA Macrosoft által gyártott Microsoft által gyártott, amely lehetővé teszi a cybercriminals lehetőséget, hogy működtesse a kiemelkedő sérülékenységet ezeken a termékekben.

Ezen kívül, öreg internet verzió Explorer, még mindig a legnépszerűbb böngésző, nagyszámú sebezhetőség van. A legtöbb esetben az Internet Explorer 6.0 telepített frissítések nélkül a rosszindulatú weboldal rosszindulatú hatásaitól védették. Ennek köszönhetően rendkívül fontos, hogy elkerüljék a kalózszoftvereket, különösen a Windows kalóz másolatát.

Egy másik kockázati tényező egy telepített víruskereső program nélküli számítógép. Még ha a legújabb frissítések telepítése a rendszer maga be tud jutni a rosszindulatú kódot Zero-Day sebezhetőséget harmadik féltől származó szoftvert. Frissítések antiVirus szoftver általában sokkal gyakrabban keletkezik, mint a javítások szoftvertermékekés biztosítsa a rendszer biztonságát abban az időszakban, amikor a korrekciókat még nem szabadul fel a sérülékenységekre.

És bár a szükséges biztonságszint fenntartása érdekében fontos a programok frissítéseinek telepítése, az emberi tényező fontos szerepet játszik. Például a felhasználó megtekintheti az "érdekes videót", letöltött "érdekes videót", anélkül, hogy gyanítaná, hogy a videó helyett egy rosszindulatú program dobta. Az ilyen trükk gyakran használják a rosszindulatú helyeken, ha a kizsákmányolás nem lép be operációs rendszer. Ez a példa azt mutatja meg, hogy miért kell a felhasználóknak tudniuk kell, hogy melyik veszélyt képviseli az internetes fenyegetések, különösen a közösségi hálózatok (Web 2.0), a közelmúltban aktívan támadta a cyberciminals.

• NE töltse le a kalóz programokat
• Frissítés egész idő alatt: operációs rendszer, webböngészők, programok a PDF fájlok, játékosok stb.
• Telepítse és mindig használjon víruskereső terméket, például a Kaspersky Internet Security 2010-et
• Vegye ki a szabályt, hogy az alkalmazottak minden hónapban adtak több órát tanulmány biztonsági weboldalak, mint például www.viruslist.com, ahol megismerhetik az internetes fenyegetések és védelmi módszerek.

Végül ne feledje: A fertőzés megkönnyíti a fertőzést, mint a gyógyítás. Vegye meg a biztonsági intézkedéseket!

Jelenleg a legtöbb számítógépes támadás történik a rosszindulatú weboldalak látogatásakor. A felhasználó félrevezető lehet az adathalász helyének bizalmas adatainak biztosításával, vagy a meghajtó letöltési támadásának áldozatává válhat a böngésző biztonsági réseivel. Így a modern víruskeresőnek nemcsak közvetlenül a rosszindulatú szoftverektől, hanem a veszélyes webes erőforrásoktól is védelmet kell biztosítania.

Az anti-vírus megoldások különböző módszereket használnak a rosszindulatú szoftverek azonosítására: az aláírási adatbázis és a heurisztikus elemzés összehasonlítása. Aláírások használják pontos meghatározás Híres fenyegetések, míg a heurisztikus elemzés meghatározza a veszélyes viselkedés valószínűségét. A vírusbázis használata egy megbízhatóbb módszer, amely minimális számú hamis pozitív. de ez a módszer Nem teszi lehetővé az ismeretlen legújabb fenyegetések felderítését.

Az elsőnek megjelent fenyegetést az anti-víruskereső laboratóriumának személyzete észleli és elemeznie kell. Az elemzés alapján megfelelő aláírást hoznak létre, amely rosszindulatú szoftverek megtalálásához használható. Éppen ellenkezőleg, a heurisztikus módszert használják az ismeretlen fenyegetések azonosítására a gyanús viselkedési tényezők alapján. Ez a módszer Értékeli a veszély valószínűségét, ezért hamis válaszok lehetségesek.

Ha rosszindulatú hivatkozásokat észlel, mindkét módszer egyszerre működhet. Veszélyes erőforrás hozzáadása a tiltott webhelyek listájához (feketelista), meg kell vizsgálni a tartalmak letöltésével és szkennelésével víruskereső vagy behatolási detektálórendszerrel (insporciós rendszer).

Az alábbiakban a Suricata IDS rendszernapló naplója a kizsákmányolás blokkolásakor:

Az IDS rendszerjelentés példája az aláírások által meghatározott fenyegetések jelzésére:

Példa az ad-tudatos víruskereső figyelmeztetésre, amikor rosszindulatú helyszínt látogat:

A heurisztikus elemzés az ügyféloldalon történik, hogy ellenőrizze a meglátogatott webhelyeket. Speciálisan tervezett algoritmusok figyelmeztetik a felhasználót, ha a meglátogatott erőforrás veszélyes vagy gyanús jellemzőkkel rendelkezik. Ezek az algoritmusok a tartalom lexikális elemzésére vagy az erőforrás elhelyezkedésének értékelésére épülhetnek. A definíciós lexikai modellt arra használják, hogy figyelmeztesse a felhasználót az adathalász támadások során. Például a faj URL-címe " http://paaypall.5gbfree.com/index.php."Vagy" http://paypal-intern.de/secure/"Az ismert adathalászat másolatai fizetési rendszer "Paypal".

Az erőforrás-szállás elemzése összegyűjti a tárhelyet és a tartománynevet. A kapott adatok alapján a speciális algoritmus meghatározza a helyszíni veszélyt. Ezek az adatok általában magukban foglalják a földrajzi adatokat, a felvevőtől és a domainet regisztrált személyt.

Az alábbiakban egy példa az adathalász helyek elhelyezésére egy IP-címen:

Végső soron, annak ellenére, hogy a webhelyek értékelésének sok módja, sem az informatikai technika sem adhat 100% -os garanciavédelmi védelmet. Csak a több számítógépes biztonsági technológia közös használata lehetővé teszi, hogy bizonyos bizalmat adjon a személyes adatok védelmében.

• a felhasználók panaszkodnak, hogy a weboldalt böngésző és / vagy programok blokkolják
• a weboldal tartalmazza a Black Google listában vagy a rosszindulatú URL-ek másik adatbázisát.
• komoly változások történtek a forgalom és / vagy a keresőmotorok rangsorában
• a weboldal nem működik, amennyiben meg kell adnia, hibákat és figyelmeztetést ad
• a weboldal meglátogatása után a számítógép furcsa.

Gyakran, a rosszindulatú kód sokáig észrevétlen marad, különösen a nagyon összetett rosszindulatú programok fertőzésével. Az ilyen rosszindulatú szoftvert általában a weboldalak megtévesztésére és adminisztrátoraira és a víruskereső programokra határozza meg; Megváltoztatja a domainneveket, amikor a felhasználók átirányításra kerülnek, így a fekete listák. Ha nincs a fenti tünetek egyike, ez a szerver tisztaságának jó alakja, bár, nem 100%; Ezért maradjon éberen minden gyanús tevékenységre.

A rosszindulatú szoftverrel való fertőzés legnyilvánvalóbb jele egy vagy több fájlban egy rosszindulatú / gyanús kód jelenléte - elsősorban HTML, PHP vagy JS formátumban, és egy ideig az ASP / ASPX. Ez a kód nem könnyű megtalálni a birtoklást legalább a programozás és a webhelyfejlesztés alapjai. Annak érdekében, hogy az olvasó jobb, úgy néz ki, mint egy rosszindulatú kód, adunk néhány példát a leggyakoribb weblapok fertőzésére.

1. példa: Egyszerű átirányítás

A Cybercriminals legrégebbi és legegyszerűbb módja az egyszerű HTML IFrame címke hozzáadása a szerver HTML fájlkódjához. Az iframe-ban az iframe-ben való rosszindulatú webhely betöltésére használt cím az SRC attribútumként van megadva; A "rejtett" értékkel rendelkező láthatósági attribútum a keret láthatatlanná teszi a webhelyen részt vevő felhasználót.

1. ábra: rosszindulatú iframe a HTML weboldalán belül

Egy másik módszer a rosszindulatú parancsfájl kialakítására a felhasználói böngészőben a hivatkozások bevezetése e parancsfájlhoz a html fájlhoz, mint az SRC attribútum a szkript címkékben vagy az IMG-ben:

2. ábra: Példák a rosszindulatú linkekre

A közelmúltban egyre inkább az esetek, amikor a rosszindulatú kód dinamikusan generálódik és megvalósul a rosszindulatú JS vagy PHP parancsfájlok HTML-kódjában. Ilyen esetekben a kód csak az oldal forráskódjának ábrázolásában látható a böngészőből, de nem a szerveren található fizikai fájlokban. A Cybercriminals továbbá meghatározhatja a rosszindulatú kódot, ha a rosszindulatú kódot létre kell generálni: például csak akkor, ha a felhasználó egy bizonyos keresőmotorok helyére költözött, vagy megnyitott egy webhelyet egy adott böngészőben.

A weboldal és a víruskereső szoftver tulajdonosának és tulajdonosának, valamint egy rosszindulatú kód, a számítógépescriminals számos kód obfuscation módszert használ.

2. példa: "404 hiba: az oldal nem található"

Ebben a példában a rosszindulatú kód beágyazódik az üzenetsablonba, amely akkor jelenik meg, amikor a megadott objektum nem található a szerveren (a jól ismert "404 hiba"). Ezenkívül az index.html / index.php fájlokat bármely nem létező elemre mutató link hajtja végre annak érdekében, hogy észrevétlenül felhívja ezt a hibát, amikor a felhasználó meglátogatta a felhasználó fertőzött weboldalát. Ez a módszer néhány zavart okozhat: a webhelyért felelős személy üzenetet kap, hogy egy bizonyos víruskereső megoldás jelezte a webhelyet fertőzött módon; A felszíni ellenőrzés után kiderül, hogy a rosszindulatú kód megtalálható az objektumban, amely nyilvánvalóan nem létezik; Ez egy kísértéshez vezet, hogy feltételezzük (hibásan), hogy hamis riasztás volt.

3. ábra: Trojan.js.iFram.zs - rosszindulatú szkript a 404 hibaüzenet sablonban

Ebben a konkrét esetben rosszindulatú kódot fedeztek fel. Deobfuscation után láthatjuk, hogy a parancsfájl célja az IFrame-címke bevezetése, amelyet a felhasználók rosszindulatú URL-jére történő átirányítására használnak.

4. ábra. Trojan.js.ifram.zs - rosszindulatú kód a deobfuscation után

3. példa: Szelektív MAL kód végrehajtása

Hasonló kódot lehet generálni és csatlakozni dinamikusan (azaz a konkrét feltételektől függően) a kiszolgálón található összes HTML fájlhoz egy rosszindulatú PHP parancsfájl segítségével, amelyet ugyanazon a kiszolgálóra letöltött. A következő példában bemutatott parancsfájl ellenőrzi a userent paramétert (amelyet a felhasználói böngészőnek, valamint a keresési botoknak küldünk), és nem ad hozzá rosszindulatú kódot, ha a webhelyet a bot, vagy ha a webhely látogatói élvezik opera böngészőkvagy szafari. Így a támadáshoz használt konkrét felhasználók számára sebezhetetlen böngészők felhasználói nem átirányítják ezt a kihasználást. Érdemes megjegyezni, hogy a kódban szereplő megjegyzések szándékosan félrevezetőek, ami azt a gondolatot eredményez, hogy ez a szkriptnek van valami köze a bot statisztikához.

5. ábra: Trojan.php.iframramer.e - Code fertőzés PHP Script

Ez a módszer is használható az ellenkező irányba: a kiberbűnözők lehet végrehajtani hivatkozásokat vezető jogellenes, kétes vagy rossz szándékú (spam, kémprogramok, szoftverek, adathalász erőforrások) csak akkor, ha a keresési bot belépett a honlapon. Az ilyen támadás célja az úgynevezett fekete optimalizálás - a cyber-bűnözési erőforrás pozíciójának növelése a kiadatás keresésében. Az ilyen rosszindulatú szoftverek általában csúcsminőségű webes portálokra irányulnak, és meglehetősen nehéz észlelni, mivel a rosszindulatú kód soha nem jelenik meg a szokásos felhasználónak. Ennek eredményeképpen a rosszindulatú weboldalak magas minősítést kapnak a keresőmotorokban, és kiderülnek, hogy a keresési eredmények felső szakaszában vannak.

4. példa: Felületi obfugráció

A PHP szkriptek fertőzése más formákat is igénybe vehet. A következő két példa több hónapja felfedezett.

6. ábra: Trojan-Downloader.php.kscript.A-nyomás PHP parancsfájl

12. ábra: trojan-downloader.js.twetti.t - rosszindulatú kód a JS fájlokban

Végül a malware-val kapcsolatos tömegfertőzés ismert, amely véletlen domainneveket használ. A rosszindulatú programok fertőzése esetén a következő kódot észleli webhelyén:

13. ábra: A kód egy komponens-verziója, amely átirányítja a tartományt véletlenszerűen generált

6. példa: "gootkit" és obfus a teljes fájl

A obfused rosszindulatú kódot könnyű kimutatni a többi között a tiszta kód, ezért az utóbbi időben a kiberbűnözők jutott eszébe az ötlet, hogy megfeleljenek a fájl tartalmát teljes egészében, így olvashatatlan a beágyazott és jogos kódot. Lehetetlen elválasztani a törvényes kódot a rosszindulatú, és csak akkor gyógyítja meg a fájlt csak akkor, ha a dekódolás.

Ábra. 14. A Malware "GooTkit" által leírt fájl

Ez könnyű megszabadulni az első szintű ködösítés, ehhez csak meg kell változtatni a EVAL () függvény Alert () - vagy print () esetén a konzol - és fuss ez a végrehajtás. A második szint kissé bonyolultabb: Ebben az esetben a domain nevet kulcsként használják a kód titkosításához.

Ábra. 15: "gootkit" - egy második szintű obsuscation

A dekódolás után egy rosszindulatú kódot láthat, amely a fájl eredeti tartalmához megy:

Ábra. 16: "GOOTKIT" - DEOBFUSCATED kód

Néha egy rosszindulatú rész kiderül, hogy a rosszindulatú programok második változata, amelyet az előző példában tárgyaltunk, és egy pszeudo-véletlen domain nevet generálnak átirányításhoz.

7. példa: .htaccess

A szkriptek és a HTML-kódok fertőzése helyett a Cybercriminals használhat néhány fájl képességeit, például.htaccess. Ilyen fájloknál az adminisztrátor azonosíthatja a szerverre vonatkozó konkrét mappákhoz való hozzáférési jogokat, valamint bizonyos körülmények között, átirányítja a felhasználókat más URL-ekre (például, ha a felhasználó mobileszközböngészőből származik, átirányítja mobil verzió Weboldal). Nem nehéz kitalálni, hogy a számítógépes kommunikálok ilyen funkcionalitást használnak ...

Ábra. 17: rosszindulatú.hraccess.

A fenti példában minden olyan felhasználó, aki a legtöbb nagykereső motor (HTTP_REFERER paraméter) linket követően megtalálja ezt a weboldalt, átirányítja a rosszindulatú URL-t. Ezenkívül ebben a fájlban.htaccess kellően nagy számú böngészővel és botokkal rendelkezik, amelyekre az átirányítás nem történik (a http_user_agent paraméter). Az átirányítás nem fordul elő, ha a weboldal olvasható a gyorsítótárból (referer \u003d\u003d cache), vagy ugyanazon a számítógépről (cookie paraméter).

Az ilyen rosszindulatú programok lehetővé teszik a szelektívebb fertőzések elvégzését - például konkrét IP-címeket lehet kizárni, és ha weboldalakat megtekinthet az IP-címek meghatározott tartományából - például a Társaság tulajdonában információ biztonság - A rosszindulatú eredmények kibocsátása hiányzik.

Vektorok támadások és technológia fertőzés

Függetlenül attól, hogy a felhasznált technológiák, a számítógépes kritériumoknak meg kell találnunk egy módszert a rosszindulatú fájlok kiszolgálójára vagy a már létező fájlok módosítására. A kiszolgálóhoz való hozzáférés elérésének legprimitívebb módszere egy hacker hozzáférési jelszó. Ehhez a CyberCriminals az úgynevezett támadást használhatja a mérgező vagy korlátozott változatának módszerével - a zúzódás (szókincs támadás) kiviteli alakja. Az ilyen taktikák általában nagy mennyiségű időt és erőforrást igényelnek, ezért ritkán használják a honlapok hatalmas fertőzését. A népszerűbb forgatókönyvek közül a sebezhetőségek és rosszindulatú programok működése a jelszavak lopására.

A tartalomkezelő rendszer biztonsági réseinek / e-kereskedelmi rendszerének használata

A modern webes tartalomkezelő platformok nagy része (mint például a tartalomkezelő rendszer (CMS), az e-kereskedelem, a kezelőpanel stb.) Teljesítményű, és olyan sebezhetőségekkel rendelkeznek, amelyek más személyeket engedélyezhetnek hitelesítés nélkül a fájlok kiszolgálóra történő feltöltéséhez. És bár az ilyen sebezhetőségek keresése folyamatosan vezet, a foltok felszabadulása nagy időt vesz igénybe; Ezenkívül sok felhasználó továbbra is használja a régi verziókat a programokkal nagy mennyiség Hibák. A leggyakrabban a sebezhetőség természetesen a legnépszerűbb platformokon, például a WordPress, a Joomla és az OsCommerce.

Az ilyen sebezhetőség jól ismert példája Timthumb, amelyet széles körben használnak a cybercriminals különböző meghajtású forgatókönyvekben. Timthumb - PHP modul a képek méretének megváltoztatására és az úgynevezett grafikus bélyegképek létrehozására, amelyek a CMS-in-in-es-es sablonok többségében szerepelnek. A biztonsági rés lehetővé teszi a távoli gépen található fájlok rögzítését a szerverre, a gyorsítótár könyvtárba. Egy másik példa a sebezhetőség SQL injekció A Plesk Panel (10. és idősebb verzió), amely 2012 februárjában található, lehetővé téve az adatbázisok olvasását és a jelszavakat, amely - amíg a közelmúltig kifejezetten tárolták őket. Az ilyen módon kapott regisztrációs adatokat valószínűleg egy közelmúltbeli tömeges webes epidémiás http://www.securelist.com/en/blog/208193624/who_is_attacking_me; https://www.securelist.com/ru/blog/208193713/runforestrun_gootkit_i_generirovanie_sluchasyynykh_domnykh_imen.

A kémprogramok használata a hitelesítő adatok ellopásához az FTP-kiszolgáló eléréséhez

A leggyakoribb websejtek (például a Gumblar és a Pegel) egy másik módszer sikeres volt. Az első szakaszban a Cybercriminals olyan rosszindulatú programokat terjeszt, amelyek kifejezetten a felhasználói nevek és jelszavak keresésére és ellopására az FTP-fiókok számára az FTP kliens beállításainak ellenőrzésével vagy a hálózati forgalom beolvasásával történő ellenőrzésével. Miután a fertőzött webhely-adminisztrátor webhelyén bekövetkezett rosszindulatú programokat találtunk, a program létrehozza az FTP-kiszolgálóhoz való kapcsolatot, és a rosszindulatú szkripteket betölti, vagy az eredeti fájlok helyett írja be a fertőzött változatát. Magától értetődik, hogy mindaddig, amíg a számla számlájának számítógépének fertőzött, a kiszolgálón tárolt fájlok ismét újra és újra felfújódnak, miután a regisztrációs adatok megváltoztatását és a teljes tartalmat visszaállítják a nettó mentésből.

A számítógépes bűnözés célkitűzései

Mi a célja a weboldalak fertőzésének?

• a felhasználók továbbítása a számítógépeken való rosszindulatú programok láthatatlan telepítéséhez;
• a felhasználók továbbítása a spamen, az adathalászatban és más rosszindulatú, illegális vagy nem kívánt tartalmakon;
• a webhely látogatások / lopás a webhely látogatása / keresési lekérdezések.
• a spamot tartalmazó rosszindulatú / illegális weboldalak és weboldalak előmozdítása (fekete optimalizálás);
• a kiszolgáló erőforrásainak használata az illegális tevékenységhez.

Lényegében semmi új itt: Weboldalak viselése során a Cybercriminals mozgatja a vágyat, hogy közvetett nyereséget kapjon.

Módszerek a rosszindulatú kód megszüntetésére

Mi van, ha a webhelyed megtámadta a hackereket?

Először is, ha megfigyeled a lehetséges fertőzésről beszélő tüneteket, akkor azonnal deaktiválja a honlapot, amíg a probléma megszűnik. Ez nagyon fontos, mert a késedelem minden pillanatában játszik a számítógépek kezében, lehetővé téve Önt, hogy megfertőzze még több számítógépet és terjeszti a fertőzést az egész. Ellenőrizze a szerver naplóit a gyanús tevékenységhez, például furcsa kéréseket az IP-címekről az országokban a helyszíni látogatók számára, stb. - Hasznos lehet a fertőzött fájlok és definíciók detektálására, pontosan, hogy a Cybercriminals hozzáférjen a szerverhez.

De hogyan kell kezelni a rosszindulatú kódot?

Biztonsági másolat

A leggyorsabb I. megbízható módon Visszaállítsa a szerver teljes tartalmát - tiszta biztonsági mentéssel. Ahhoz, hogy hatékonyan elvégezzék, azt is szükség lehet a kiszolgálón futó teljes újratelepítési szoftver (tartalomkezelő rendszerek / CMF, E-Commerce rendszer stb.). Természetesen ehhez a legújabb, teljesen frissített verziókat kell használnia. Ezen műveletek után a szerveren nincs fertőzött fájlok - feltéve, hogy a visszanyerés előtt törölte az összes tartalmat, és a támadás megkezdése előtt létrejött a biztonsági mentés.

Automatikus ellenőrzés

Ha nincs nettó biztonsági másolat, akkor nincs semmi, amiért a rosszindulatú szoftverek küzdelme. Szerencsére számos olyan automatizált megoldás létezik, amelyek segítenek megtalálni a rosszindulatú kódot - beleértve az anti-vírus termékeket és az online webes szkennereket, például http://sucuri.net/. Egyikük sem ideális, de jól ismert / rendes rosszindulatú szoftver esetén mindannyian nagyon hasznosak lehetnek. Kezdjük azzal, hogy több online szkenner segítségével ellenőrizheti a webhelyet. Némelyikük nem csak meghatározza, hogy a webhelye tényleg fertőzött-e, hanem rosszindulatú kódot is jelez-e a fájlokban. Ezután teljesítheti a szerver összes fájljának teljes vírusellenőrzését.

Ha Ön a szerver tulajdonosa, vagy ha a kiszolgálón működik biztonsági megoldásA használata, amelynek joga van, ellenőrizheti a szerver oldalát. Győződjön meg róla, hogy létrehozott egy példányt a fájlok, mivel néhány víruskereső szkenner nem kezeli a fertőzött fájlokat, de távolítsa el őket! A szerver tartalmát a helyi számítógépre is letöltheti, és ellenőrizheti egy víruskereső megoldást egy álló számítógéphez. A második lehetőség előnyösebb, mivel a helyhez kötött számítógépek legmodernebb vírusirtó programja van egy jól fejlett heurisztikus modul. A weboldalakat érintő rosszindulatú programok, nagyon polimorfok: és ha a leküzdésekor az aláírás-elemzés gyakorlatilag haszontalan, a heurisztika lehetővé teszi számukra, hogy könnyen kimutatják őket.

Kézi eltávolítás

Ha egy automatikus ellenőrzés Nem adta eredményeket, és a webhely fertőzésének jelentése még mindig jön, az egyetlen módja annak, hogy megszabaduljon a rosszindulatú programoktól, hogy kézzel megtalálja és törölje az összes rosszindulatú kódot. Ez a nehéz feladat jelentős időt vehet igénybe, mivel minden egyes fájlt ellenőrizni kell - hogy a html, a js, a php vagy a konfigurációs fájl - rosszindulatú parancsfájlok esetén. A fenti példák csak egy kis része a különböző rosszindulatú programoknak a weboldalak számára, így annak valószínűsége, hogy a webhelyén való rosszindulatú kód részben vagy teljesen eltérő lesz a mintáktól. Mindazonáltal a weboldalak számára a legtöbb modern rosszindulatú programnak van néhány közös jellemzője, és ezek a funkciók segítenek a probléma meghatározásában.

Legtöbbször, szükség van arra, hogy figyelmet fordítson azon kódrészekre, amelyek nem tisztázottak vagy olvashatatlanok. A kód Obfusion - technológia, amelyet gyakran használnak, meglehetősen szokatlan a weboldalakhoz kapcsolódó egyéb szoftvereknél. Ha nem felel meg a kódnak, akkor bármilyen oka van, hogy gyanakodjon róla. De légy óvatos - rosszindulatú lesz, nem az összes kifogott kód!

Hasonlóképpen, nem minden rosszindulatú szkript obfussed, ezért érdemes megkeresni, hogy az iframe címkék kifejezetten és más hivatkozásokat tartalmaznak az összes fájlban. Néhányan összefügghetnek hirdetési hirdetések És statisztikák, de nem jutnak be a speciálisan kialakított URL-ek halászati \u200b\u200brúdjába, amelyek összekeverhetik a jól ismert és megbízható portálok címét. Ne felejtse el ellenőrizni a sablon hibaüzenetek kódját, valamint az összes fájlt.

Hasznos eszközök a szerveren való rosszindulatú kód megtalálásához kétségtelenül a parancssori módban működnek, alapértelmezés szerint engedélyezve a parancssori módban, amely szinte minden rendszerben engedélyezve van uNIX alapú alap. Az alábbiakban példák a leggyakoribb fertőzések diagnosztizálására:

grep -irs "iframe" *
grep -irs "eval" *
grep -is "UNESCAPE" *
grep -rs "base64_decode" *
grep -irs "var div_colors" *
grep -irs "var _0x" *
grep -rs "corelibrarieshandler" *
grep -rs "pingnow" *
grep -rs "serchbot" *
grep -rs "km0ae9gr6m" *
grep -rs "C3284D" *
megtalálja. -Aname "UpdEppp"
megtalálja. -Aname "* timthumb *"

Grep leírás (Linux kézikönyvből): A sablonnak megfelelő nyomtatási vonalak; Az opció -i azt jelenti, hogy figyelmen kívül hagyja a nyilvántartást; -R azt jelenti, rekurzív keresést, és - megakadályozza a hibaüzenetek megjelenítését. A felsorolt \u200b\u200bparancsok első része az iframe tag fájlokat keres; Három másik keresi az obsuscation legnyilvánvalóbb jeleit; A többiek különleges vonalakat keresnek a weboldalak legnagyobb ismert fertőzéséhez.

Ami a keresést illeti, a Linux kézikönyv azt jelzi: A fájlok keresése a mappában hierarchikus struktúrában; "." (Point) jelzi az aktuális könyvtárat (így futtassa a parancsadatokat a szerver gyökérkönyvtárából vagy otthoni (home) könyvtárából), a -iname paraméter határozza meg az aláírt fájlt. Használható rendszeres kifejezések Az egyes kritériumoknak megfelelő összes fájlt kereshet.

Természetesen mindig tudnia kell, hogy mit keressen - nem minden eredmény jelzi a fertőzést. Nem rossz ahhoz, hogy ellenőrizze a kód gyanús részeit egy víruskereső szkennerrel, vagy próbálja meg keresni őket a Google-ban. Nagyon valószínű, hogy talál néhány választ - mind a rosszindulatú, mind a tiszta kód. Ha még mindig nem biztos benne, hogy a fájl fertőzött-e, a legjobb, ha a webhelyet (csak abban az esetben) kikapcsolja, mielőtt bármilyen intézkedést keresne a szakember számára.

Nagyon fontos!

A szerveren található fájlok tisztítása mellett szükség van a szerveren lévő tartalom letöltésére és kezelésére használt összes számítógép teljes vírusellenőrzésére, és módosítani kell az összes adatot a kiszolgáló összes fiókjának eléréséhez (FTP, SSH, Vezérlőpanel stb.), hogy támogatja.

A webhelyek biztonsági alapjai

Sajnos, a legtöbb esetben a rosszindulatú kód eltávolítása nem elegendő ahhoz, hogy megszabaduljon a fertőzéstől egyszer és örökre. Ha a webhely fertőzött, lehet, hogy olyan sebezhetőségek létezése, amelyek lehetővé tették a számítógépes kritikusok számára, hogy rosszindulatú szkripteket hajtsanak végre a szerverre; És ha figyelmen kívül hagyja ezt a problémát, az új fertőzés várja Önt a közeljövőben. Ennek megakadályozása érdekében meg kell tennie a megfelelő intézkedéseket a kiszolgáló beadásához használt kiszolgáló és számítógép / számítógépek védelmére.

• Tartós jelszavak használata. A Tanács triviálissága ellenére valójában a kiszolgáló biztonságának alapja. Nemcsak az egyes események és / vagy a szerveren bekövetkező támadás utáni jelszavak módosítása szükséges - rendszeresen eltérőnek kell lennie, például havonta. Jó jelszó meg kell felelnie a www.kaspersky.com/passwords címen található különleges kritériumoknak;
• Rendszeres frissítés. Nem kell elfelejtenie a rendszeres frissítéseket is. A cybercriminals gyakran kiaknázza a sebezhetőségeket a rosszindulatú program céljától függetlenül - függetlenül attól, hogy a PC-felhasználókra vagy weboldalakra irányul. Minden olyan program, amellyel a kiszolgáló / webhely tartalmának kezelése a leginkább legutóbbi verziókÉs minden biztonsági frissítést azonnal fel kell szerelni a kimenetén. Használ tényleges verziók A szükséges javítások szoftverének és időben történő telepítése segít csökkenteni a támadás kockázatát a kizsákmányolás használatával. A híres sebezhetőségek rendszeresen frissített listája megtalálható a http://cve.mitre.org/ webhelyen;
• Rendszeres biztonsági másolat. A kiszolgáló tartalmának nettó példányában sok időt és erőfeszítést fogsz megmenteni, nem is beszélve arról, hogy a friss biztonsági másolatok a fertőzés kezelése mellett nagyon hasznosak más problémák megoldásában;
• Rendszeres fájlellenőrzések. Még a fertőzés kifejezett tüneteinek hiányában is ajánlott rendszeresen beolvasni az összes fájlt a kiszolgálón a rosszindulatú kódok azonosítására;
• PC-biztonság biztosítása. Mivel a weboldalakra vonatkozó jelentős mennyiségű rosszindulatú program a fertőzött PC-ken keresztül terjed, a webhelyének kezeléséhez használt álló számítógép biztonsága a webhely biztonságának egyik kiemelt szempontja. A számítógép tisztaságának és biztonságának folyamatos támogatása jelentősen növeli annak valószínűségét, hogy a webhelye biztonságos és védett a vírusoktól.
• Kötelező (de nem elegendő) a következő intézkedéseknek kell lenniük:
  • a fel nem használt programok törlése;
  • a felesleges szolgáltatások és modulok kikapcsolása;
  • az egyes felhasználók és felhasználói csoportok megfelelő házirendjeinek meghatározása;
  • megfelelő hozzáférési jogok telepítése bizonyos fájlokhoz és könyvtárakhoz;
  • fájlok és webkiszolgáló könyvtár letiltása;
  • az eseménynaplók fenntartása, rendszeresen ellenőrizve a gyanús tevékenységre;
  • használja a titkosítási és biztonságos protokollokat.

A weboldalak fertőzésére tervezett rosszindulatú szoftverek valódi rémálom lehetnek a webes adminisztrátorok és az internethasználók számára. A Cybercriminals folyamatosan fejleszti technológiájukat, új kihasználásokat nyitva. A rosszindulatú programok gyorsan elosztásra kerülnek az interneten, ütőszerverek és munkaállomások. Helyesen azt mondják, hogy a teljes megszüntetésének megbízható módja ez a fenyegetés nem létezik. Mindazonáltal minden weboldal tulajdonosának és minden internetes felhasználója biztonságosabbá teheti az internetet, megfigyelheti az alapvető biztonsági szabályokat, és folyamatosan támogatja webhelyeik és számítógépeik biztonságát és tisztaságát.

Hagyja meg a megjegyzést!

Rövid a "rosszindulatú szoftverek". Ez egy olyan kifejezés, amelyet általában a számítógépére telepített szoftverekre használnak, amelyek célja, hogy beszivárogjon vagy károsítson egy számítógépes rendszert a tulajdonos tájékozott beleegyezése nélkül. Néha a Firefox problémája lehet a számítógépen telepített rosszindulatú programok eredménye, hogy nem Legyen tisztában. Ez a cikk leírja, hogy milyen gyakori tünetek vannak, és hogyan lehet megakadályozni a rosszindulatú programok telepítését és megszabadulni tőlük.

Tartalomjegyzék.

Honnan tudhatom, mint a Firefox problémám a rosszindulatú programok eredménye?

A tünetek különbözőek és a rosszindulatú programoktól függenek, de ha van egy vagy több ilyen viselkedési, akkor lehet, hogy a malware telepítve van a számítógépen.

• Egyes hirdetési előugró ablakok mindig jelennek meg, Bár blokkolta a felugró ablakokat. A dugók blokkolására, lásd.
• A keresések átirányításra kerülnek egy másik webhelyre Annak érdekében, hogy táplálja Önt a weboldalon, és letiltja őket. További információért lásd: Mit kell tenni a rossz keresések, hogy a rossz keresési webhelyre.
• A kezdőlapod eltérített. A kezdőlap beállításával kapcsolatos további információkért.
• A Firefox soha nem fejezi be a betöltést, vagy "t betölti bizonyos webhelyeket. További információért lásd: A weboldalak egy fonó kerékt mutatnak be, és soha nem fejeződnek be a betöltést, és a Firefox nem tudja betölteni bizonyos webhelyeket.
• A Firefox összeomlik, vagy sokat lóg. További információ: Firefox Crashes - Hibaelhárítás, Megakadályozza és segítséget kap a rögzítéshez és a Firefox rögzítéséhez, vagy nem válaszol - hogyan kell javítani.
• A Firefox nem indul el. További információ: Firefox Won "T Start - Megoldások keresése.
• A Facebookkal való kapcsolat problémái. További információ a Facebook problémáiról, lásd a Facebook játékokkal kapcsolatos problémákat, csevegést és így tovább.
• A Firefox számos lapot nyit meg O Windows. További információ: A Firefox ismételten megnyitja az üres lapokat vagy a Windows-ot, miután rákattint a linkre.
• A nem kívánt eszköztárak telepítve vannak. A Firefox testreszabásáról további információt a Firefox keresési vagy honlapján átvett eszköztár eltávolítása és a Babylon eszköztár, a kezdőlap és a keresőmotor eltávolítása.

Hogyan lehet megakadályozni a rosszindulatú programokat?

Vannak egyszerű szabályok, amelyek követhetők annak érdekében, hogy megakadályozzák a rosszindulatú programok telepítését a számítógépen:

• Tartsd meg. operációs rendszer És más szoftverek frissítve: A rosszindulatú szoftverek telepítése általában kihasználja az ismert biztonsági réseket más programokban, amelyek későbbi verziókban javítottak. Győződjön meg róla, hogy a használt szoftverek legújabb verzióját használja, amelyek lehetővé teszik a szoftver automatikus frissítési funkcióját, ha rendelkezésre állnak, vagy a szoftverszolgáltató frissítéseinek ellenőrzésével És a Windows Update funkció használatával.
• Don "T telepítse a megbízhatatlan szoftvert: Egyes webhelyek szoftvereket kínálnak a böngésző felgyorsításához, hogy segítsen az interneten keresni, hogy olyan eszköztárakat adjunk hozzá, amelyek a Firefoxhoz már megtörténik. Néhány nem kívánt program a szoftvercsomagokban is összeállt. Általában ezek a programok információt gyűjtenek az Ön böngészési viselkedéséről, amely csak olyan embereket szolgál fel, akik megtervezik őket, és zavarják a Firefoxot. Győződjön meg róla, hogy a kiegészítők telepítése Mozilla „S Add-on a weboldalt, és törli a jelet nemkívánatos programok Szoftver Wizards. Ellenőrizze, hogy van nemkívánatos bővítmények és letiltása vagy eltávolítása.
• Don "T kattintson a félrevezető felbukkanó ablakokra: Sok rosszindulatú webhely megpróbálja telepíteni a rosszindulatú programokat a rendszerre, így a képek megjelennek, mint a felbukkanó ablakok, vagy megjelenítik a weboldal animációját a számítógép szkennelésével. További információ a félrevezető előugró ablak észleléséről, olvassa el a pop-up blokkoló beállításokat, kivételeket és hibaelhárítást.
• Ne fuss egy hamis Firefoxot: Töltse le a Firefox-t a Mozilla.org/firefoxból.

• Futtassa az anti-vírust és a kémprogram -okat valós idejű védelmet, és szkennelje be rendszeresen rendszeresen. A Suore-t az Anti-Virus és az Anti-Spyware valós idejű védelme engedélyezve van. Vizsgálja meg a számítógépet legalább havonta.

Hogyan lehet megszabadulni a rosszindulatú programoktól?

A Wikipedia Cikk Linux Malware információkkal és ajánlásokkal rendelkezik linux esetében Felhasználók.

Hogyan lehet megszabadulni a rosszindulatú programoktól?

A Microsoftnak alapja van. iNGYENES VÍRUSIRTÓ És anti-spyware biztonsági szoftver beépített Windows 8 és Windows 10windows 7 esetén (lásd Mi a Microsoft Security Essentials?). Ha a biztonsági szoftver hibásan észlelt Malware, szkennelje be a rendszert az alábbiakban felsorolt \u200b\u200bingyenes malware szkennelési programokkal. Meg kell vizsgálnia az összes programot, mert minden program különböző rosszindulatú programokat észlel, és győződjön meg róla, hogy frissíti az egyes programokat, hogy megkapja az adatbázisok legújabb verzióját Szkennelés előtt.

Figyelem: Az anti-vírus és a kémprogram-elhárító szoftver néha hamis pozitívumokat hozhat létre. Tekintsük a gyanús fájlok karantálását, nem pedig törölve őket.