Menü
Bedava
giriş
ana  /  Eğitim / Kötü amaçlı kod nedir. Kötü amaçlı kod örneği komut dosyası saldırısı nedir

Kötü niyetli kod nedir. Kötü amaçlı kod örneği komut dosyası saldırısı nedir

Site bir virüs başladı ve herhangi bir virüslü nesne gibi, web kaynağınız büyük bir bela kaynağına dönüştü: şimdi sadece kar elde etmiyor, aynı zamanda internet, alıcılar, arama motorları ve hatta bir üne ayrılıyor Hoster sizden uzaklaşır.

Senin sorununuzla bir tane kalıyorsun ve çözmeye çalış kendi kuvvetleriProfesyonellere temas etmeden, ancak forumlardan "uzmanların" tavsiyelerinin ardından. Veya "daha ucuz" bulunduğu sitenin tedavisini sipariş edin. Ne yapmalı, çünkü her zaman sorunu mümkün olduğunca çabuk ve en küçük maliyetlerle çözmek istiyor. Ama böyle bir yaklaşım her zaman haklı?

Dikkatinize, geçmiş yılın en iyi 7 hatası, bir web ustası işleyen, hack ve enfeksiyondan sonra sitenin performansını geri kazanmaya çalışıyor.

Hata numarası 1. Sitenin yedeklemesinden kötü amaçlı koddan kurtulmanın bir yolu olarak restorasyonu

Çok sık, bir Web Master'ın kötü amaçlı bir kodu ile enfeksiyon sorunu, siteyi son temiz versiyona geri döndürmeye çalışıyor. Sitedeki virüsün her zaman hissetmesini sağladığında web projesini geri yüklemeye devam edin. Ne yazık ki, rahatsız edici ve çok riskli bir seçenektir.

Doğru çözüm: Sitenin, yeniden enfeksiyondan kaçınmak için tedavi edilmesi ve hacklemeye karşı korumayı önlemek gerekir. İlk olarak, site içeriği güncellenebilir, siteye yeni eklentiler yüklenebilir, site komut dosyalarına değişiklik yapılabilir. Her geri alma sırtı, tüm son günlerin eserlerinin sonuçlarını kaybettiğiniz anlamına gelir. Ancak, hack ile kardinal mücadelenin daha önemli bir nedeni var: Eğer bir hacker bir gün sitenizi tamamen yok etmeye karar verirse, web kaynağınıza erişimi var mı?

Hata numarası 2. Sitenin yaptırımların altından çıkması için aldatma aldatmacası

Site, "bilgisayar güvenliği tehdit eden" listesine girer. mobil cihaz... "Sitedeki virüs yüzünden veya ziyaretçileri enfekte olmuş kaynağa yönlendirir. Web Sihirbazı bölmesinde, enfekte olan sayfaların örnekleri görüntülenir, ancak bir sorunu çözmek yerine zorlu veya cahil bir web yöneticisi (kötü amaçlı bir kaynağın aranması ve silinmesi), arama motorlarını enfeksiyon örneklerinde gösteren bazı sayfaları siler. Veya, bir seçenek olarak, Robots.txt'teki kuralları kullanarak siteye tamamen engelleme, naifify, antivirüs botuna siteye bloke etmeye ve eriştiğine inanıyor.

Doğru çözüm: Sitede bir viral kod bulmanız ve kaldırmanız gerekir. Endeksleme yasaklamak sadece işe yaramaz değil, aynı zamanda tehlikelidir. İlk olarak, site sayfaları arama dizininden çıkabilir. Ve ikincisi, anti-virüs servisinin robotu, arama motorunun kuralları dışındaki kurallara göre çalışır ve indeksleme yasağı bunu etkilemez.

Hata numarası 3. Beceriksiz uzmanlarla kötü amaçlı bir kod tarayıcısının kullanılması

Tasarruf etmek veya başka nedenlerden dolayı, sitenin tedavisi, kötü amaçlı kod tarayıcısına tahsis edilen parçanın gerçekten tehlikeli olup olmadığını% 100 belirleyemeyen yeterince hazırlanmış uzmanla meşgul olmaya başlar. Sonuç olarak, iki uç gözlenebilir: kesinlikle virüsün tüm şüpheleri çıkarılır, bu da sitenin bozulmasına yol açar, ya da kötü amaçlı kodun tamamen olmadığını, bu da nüksü oluşturur.

Doğru çözüm: Açıkçası, profesyoneller bir web kaynağını tedavi etmekle meşgul olmalıdır. Kötü amaçlı yazılım tarayıcılarının raporu yanlış cevaplardır, çünkü aynı fragman hem meşru kodlarda hem de hacker'da kullanılabiliyor. Her dosyayı analiz etmeniz gerekir, aksi takdirde, sitedeki başarısızlıklara veya tam bozulmasına yol açabilecek kritik unsurları kaldırabilirsiniz. Veya, aksine, Web kaynağının yeniden enfeksiyonuna yol açacak hacker kabuğunu tanıma riski vardır.

4 numaralı hata sayısı. Sitede kötü amaçlı kod varlığında mesajları (Webmaster panelinde) görmezden gelmek

Web Sihirbazı panelinde sitede kötü amaçlı bir kodun varlığının bildirilmesi kalıcı değildir. Bugün sistem, sitenizdeki virüsün ve yarın sessiz olduğunu yazıyor. Site sahibi, sistemde bir tür başarısızlık olduğunu düşünmek daha keyifli ve web sitesi herhangi bir şüphenin dışında. Ancak, pratikte her şey yanlış. Farklı enfeksiyon türleri var. Kötü amaçlı kod, yalnızca bir süredir sitede görünebilir ve sonra kaybolabilir. Bu, siteyi kontrol ederken, arama motorunun antivirüsünün şişesini, kötü amaçlı yazılımların bir şişe tespit edilebileceği anlamına gelir ve diğerinde - Hayır. Sonuç olarak, Webmaster "rahatlatıcı" ve tehlikeli mesajı görmezden gelmeye başlar: "Neden tedavi için zaman harcadılar, çünkü site engellenmedi."

Doğru çözüm: Sitenin kötü niyetli bir etkinliği yoksa, büyük olasılıkla sizin, web kaynağı saldırıya uğradı ve bulaşmış. Sitedeki virüsler kendileri tarafından görünmüyor. Arama motorunun sitede şüpheli bir kod keşfetmesi ve ardından "sessiz", sadece bir Webmaster tarafından göz ardı edilmemelidir, ancak aksine, alarm sinyali olarak hizmet etmelidir. Kaynağınızın yarın nasıl çalışacağını kim bilebilir? - spam, kimlik avı veya yönlendirmeler. Hacker backdors, kabukları için bir site taraması yapmanız gerekir, hacklemeye karşı tedavi etmek ve korumak için.

Hata numarası 5. Sitelerin freelancerames-profesyonel olmayan tarafından tedavisi.

Prensip olarak, bu konuda serbest meslek sahipleriyle çalışmak diğer kürelerden farklı değildir. Cheap - her zaman niteliksel değil, ancak neredeyse her zaman garanti ve sözleşmeli ilişkiler olmadan. Site güvenliği konularında uzmanlaşmayan çoğu serbest meslek, bir hacker saldırısının sonuçları ile çalışmaktadır, ancak nedeni - web sitesi güvenlik açıkları ile ilgili değildir. Bu, sitenin yeniden kullanabileceği anlamına gelir. Daha da kötüsü, sitede başka bir kötü amaçlı kodu emebilen, veritabanını vb. İfade edebilecek ahlaksız performanslar var.

Doğru çözüm: Sitelerin hacklemesinden muamele ve koruma ile ilgilenen özel bir şirketle iletişim kurun. Bu tür şirketlerin çalışanları her gün kötü amaçlı kodu kaldırır, virüslerin mutasyonunu görün ve hacker saldırılarının evrimini izleyin. Karanlık hırsızlık pazarı bir yerde değil, kurumun tedavisine ve korunmasına izinsiz girişimlerden sürekli izleme ve konuyla ilgili cevap veriyor ve gerektirir.

6 numaralı hata. Sitedeki aynı virüsün günlük / haftalık olarak çıkarılması.

Bu sorun, hacklemenin düzenli olarak etkilerini ortadan kaldırmaya hazır olan özel "meraklılar" ile ilgilidir. Bu tür web yöneticileri, özellikle hangi kodun siteye yerleştirileceğini, özellikle nerede ve ne zaman olacağını biliyor. Dolayısıyla, 09-30'da bir saldırgan tarafından günlük olarak tanıtılan mobil yönlendirme ile sonsuz bir şekilde mücadele edebilirsiniz. HTACKESS'e bir saldırgan tarafından mobil trafiğinizi siteye yönlendirir ve viagra veya porno satışı için mobil trafiğinizi yönlendirebilirsiniz. Sadece işte yeterli değil: hacker botu otomatik modVe el ile kaldırma işlemi gerçekleştirmelisiniz. Sonuçta dürüst değil, değil mi?

Doğru çözüm: Sonuçları (virüsler, yönlendirmeler vb.) Sonsuzca silebilirsiniz, ancak kötü amaçlı ve hacker komut dosyaları için siteyi daha verimli bir şekilde kontrol edebilir, onları çıkarın ve daha fazla virüs kodu görünmemesi için korunmaya karşı koruma kurabilirsiniz. Ve serbest bırakılan süre daha etkin bir şekilde harcamak için. Ana şey, Hacker'ın zaten sitenize erişimi olduğunu unutmayın, bu da bir dahaki sefere size zararlı kodu size sınırlandırmayacağı anlamına gelir, ancak sitenizi daha ciddi siber suçlar için kullanın.

7 hata numarası. Bir bilgisayara antivirüs ile ilgili bir sitenin tedavisi

Bazı Webmasterlar için "antivirüs" kavramı evrensel olarak ve bilgisayar için amaçlanan bir antivirüs kullanarak hacklenmiş ve enfekte olmuş bir siteyi iyileştirmeye çalışıyorlar. Site yedeklemesi, Antivirus yazılımının bir masaüstü versiyonu tarafından yapılır ve kontrol edilir. Ne yazık ki, bu tedavi istenen sonuçları veremiyor.

Doğru çözüm: Sitedeki virüsler ve bilgisayarda - aynı şey değil. Siteyi kontrol etmek için özel yazılım veya erişim uzmanları kullanmanız gerekir. Masaüstü antivirüsleri, ne kadar iyi oldukları önemli değil, veritabanı bilgisayardaki virüslere ve truva atlarına odaklandığından, web sitelerini virüslerden muamele etmeye yönelik değildir.

Bu kadar. Aynı komüye basmayın!

Kötü amaçlı yazılımın web siteleri üzerinden dağıtımı

Kostin Paradise, Kaspersky Lab

Giriş. Cybercrime: Eğilimler ve Gelişme

Son birkaç yılda, internet tehlikeli bir yer haline geldi. Başlangıçta nispeten az sayıda kullanıcı için yaratıldı, yaratıcılarının beklentilerini önemli ölçüde aştı. Bugün dünyada 1,5 milyardan fazla internet kullanıcısı var ve teknolojinin giderek daha uygun fiyatlı hale geldiği için sayıları sürekli büyüyor.

Suçlular ayrıca bu eğilimi fark etti ve interneti kullanarak suçların işlenmesi için çok hızlı bir şekilde anlaşıldığını (şimdi siber suç olarak adlandırıldığını) bir dizi önemli avantaja sahip olduğunu fark etti.

İlk olarak, sibercrime en büyük riskle ilgili değildir: jeopolitik engellere sahip olmadığı için, kolluk kuvvetlerinin suçluları yakalaması zordur. Dahası, uluslararası araştırma ve adli iş yürüten daha fazla paraBu nedenle, bu tür eylemler genellikle yalnızca özel durumlarda yapılır. İkincisi, siberci basittir: internette sunulur büyük miktar Bilgisayarları kesmek ve virüs yazmak için "talimatlar" herhangi bir özel bilgi ve deneyim gerektirmez. İşte, revizyonları birçok milyar dolar tarafından hesaplanan ve gerçekten kapalı bir ekosistem olan siber suçu çevreleyen iki ana faktör.

Ve bilgi koruma ve yazılım üreticileri yapan şirketler, siber suçla kalıcı bir mücadeleye neden olur. Amaçları çevrimiçi kullanıcılara güvenilir koruma sağlamak ve güvenli bir yazılım oluşturmaktır. Saldırganlar, bir sonuç olarak, iki belirgin eğilimin ortaya çıkmasına neden olan kabul edilen karşı önlemleri önlemek için sürekli olarak taktikleri değiştirir.

İlk olarak, kötü amaçlı programların yerleşimi sıfır günlük güvenlik açıkları kullanılarak gerçekleşir, yani Yamaların henüz oluşturulmadığı güvenlik açıkları. Bu güvenlik açıkları ile, böyle güvenlik açıkları bile enfekte olabilir bilgisayar sistemlerihangisi tüm yüklü en son güncellemelerAncak özel koruyucu çözümler yoktur. Sıfır günlük güvenlik açığı değerli bir üründür (kullanımları potansiyel olarak ciddi sonuçlara yol açabilir), on binlerce dolar için kara pazarda satılmaktadır.

İkincisi, Kara Pazarda daha fazla satmak için gizli bilgilerin çalınması için özel olarak oluşturulan kötü amaçlı yazılım miktarında keskin bir artış görüyoruz: Kredi kartı numaraları, banka detayları, eBay veya PayPal gibi sitelere erişim için şifreler, hatta Çevrimiçi olan şifreler -igra, örneğin, World of Warcraft'a.

Böyle bir siber suç kapsamındaki bariz nedenlerinden biri, karlılığıdır, bu da her zaman yeni siberci teknolojileri yaratmada bir motor olacaktır.

Cybercriminals ihtiyaçları için düzenlenen gelişmelere ek olarak, başka bir eğilimi not ediyoruz - kötü amaçlı programların dünya çapında web üzerinden yayılması. Melissa gibi bu tür posta solucanlarının neden olduğu mevcut on yılın başlangıcının salgınlarından sonra, birçok şirket - bilgi koruma sistemlerinin üreticileri, kötü niyetli yatırımları nötralize edebilecek çözümlerin gelişimi konusundaki çabalarını odakladı. Bazen tüm yürütülebilir eklerin mesajlarda kaldırıldığına yol açmıştır.

Bununla birlikte, kötü amaçlı yazılımın ana yayılımı kaynağı, kötü amaçlı yazılımın ana kaynağı haline gelmiştir. Kötü amaçlı programlar web sitelerine yerleştirilir ve daha sonra her iki kullanıcıların sahtekarlıkla çalışmasını engellediği ya da bu programların enfekte olmuş bilgisayarlarda otomatik olarak yürütülür.

Büyüyen bir alarmın neler olduğunu gözlemleyen "Kaspersky Laboratuar "'dayız.

İstatistik

Son üç yıldır, kötü amaçlı programların yayılma noktaları olduklarını belirlemek için sözde temiz web sitelerini (100.000 ila 300.000'den) izledik. Yeni alanlar kaydedildiği için izlenen sitelerin sayısı sürekli artmıştır.

Tablo, yıl boyunca izlenen web sayfalarının kayıtlı maksimum enfeksiyon oranını gösterir. Açıkçası, enfekte olmuş sitelerin payında keskin bir artış: 2006 yılında yaklaşık olarak her site ile yirmi bin arasında enfekte olmuş, daha sonra 2009'da her bir bölge ile yüz elliden enfekte olduğu ortaya çıktı. Enfekte olmuş sitelerin yüzdesi, bu son rakamın alanında değişir, bu da doygunluk noktasının başarısı anlamına gelebilir: Enfekte olabilecek tüm web siteleri enfekte olmuştur. Bununla birlikte, sayıları yeni güvenlik açıkları olarak artar veya azalır veya saldırganların yeni web sitelerini bulaştırmalarına izin veren yeni araçların ortaya çıkması.

Aşağıdaki iki tablo, 2008 ve 2009'daki sitelerde en sık karşılaşılan kötü amaçlı programlar hakkında veri içerir.

10 Lider Kötü Amaçlı Yazılım - 2008

10 Lider Kötü Amaçlı Programlar - 2009

2008 yılında Trojan programı Truva-Clicker.js.Agent.h çok sayıda vakada bulundu. Bunun arkasında% 1'den daha az bir marjı takip ediyor Truva-Downloader.js.iframe.oj.

Sayfa, Enfekte Trojan-Clicker.js.Agent.h

FODDED TROJAN-CLICKER.JS.Agent.h

Trojan-Clicker.js.Agent.h, 2008 yılında kullanılan ve hala (2009'da) kötü amaçlı kod tanıtmak için kullanılan bir mekanizmanın tipik bir örneğidir. Sayfaya, genellikle zorlaştırmak için genellikle şaşkınlıklara maruz kalan sayfaya küçük bir javascript snippet eklenir. Yukarıdaki şekilde gösterilen kodda, sefil, kötü amaçlı kodları, onaltılık kodlarını oluşturan ASCII karakterlerinin ikame edilmesinden oluşur. Kodun şifresini çözdükten sonra, bir kural olarak, istismarların bulunduğu siteye yol açan yüzen bir çerçeve (iframe). Bağlantının yapıldığı IP adresi değişebilir, çünkü istismarlar çeşitli sitelere yerleştirilir. Üzerinde ana Sayfa Kötü niyetli web sitesi genellikle IE, Firefox ve Opera için istismarlardır. Trojan-downloader.js.iframe.oj, hem kötü amaçlı bir programın hem ikinci kullanım sıklığına benzer.

2009 yılında, kötü amaçlı programların web sayfaları üzerinden dağıtıldığı iki ilginç dava vardı. İlk durumda, Net-Worm.js.aspxor.a'dan bahsediyoruz, ilk olarak Temmuz 2008'de keşfedilen ve 2009 yılında yaygın olarak yayıldı. Özel bir yardımcı programın yardımı ile bu kötü amaçlı yazılım, kötü amaçlı yüzer çerçevelerin tanıttığı web sitelerinde SQL güvenlik açığını bulur.

Başka bir ilginç dava, kötü niyetli bir Gumblar programıdır. Yayılan Çince alanının adı ile adlandırılmıştır. JavaScript kodunun şaşırtmasındaki "Gumblar" dizesi, web sitesine "soyunma", sitenin enfekte olduğu sadık bir işarettir.

Gumblar Kodunun web sitesine tanıtım örneği

Deobfalling'den sonra, kötü amaçlı kod Gumblar şuna benziyor:

Kodu çözülmüş gumblar kodu

Bununla birlikte, "Gumblar.cn" alanı kapalıydı, ancak, siber suçlamaların yeni alanlardan kötü niyetli saldırılara devam etmesini engellemedi.

Enfeksiyon ve dağıtım yöntemleri için yöntemler

Şu anda, kötü amaçlı yazılım sitelerinin bulaşması için üç ana yol vardır.

İlk popüler yöntem, web sitesinin kendisinin güvenlik açıklarını kullanmaktır. Örneğin, SQL kodunun uygulanması, site sayfasında kötü amaçlı bir kod eklemenizi sağlayan. Trojan Aspxor gibi saldırı araçları, bu yöntemin çalışma mekanizmasını açıkça göstermektedir: Aynı anda binlerce IP adresi için kütle taraması ve kötü amaçlı kod uygulamak için kullanılabilir. Bu tür saldırıların izleri, web sunucusu erişim günlüklerinde sıklıkla görülebilir.

İkinci yöntem, HTML dosyalarının oluşturulmasını ve yüklenmesini izleyen Web sitesi geliştiricisinin bilgisayarının enfeksiyonunu içerir ve daha sonra kötü amaçlı kodu bu dosyalara uygular.

Son olarak, bir başka yöntem, bir Web sitesi geliştirici bilgisayarının (Ransom.win32.Agent.ey) veya barındırma hesabına erişimi olan diğer kişilerin bir enfeksiyonudur. Böyle bir Trojan, genellikle HTTP sunucusuna, fitnzilla ve CuteFTP gibi popüler FTP istemcilerinden topladığı FTP hesaplarına aktarmak için http sunucusuna giderilir. Sunucuda bulunan kötü amaçlı bir programın bir bileşeni, alınan bilgileri SQL veritabanına kaydeder. Sonra Özel programAyrıca sunucuda bulunan, giriş prosedürünü tüm FTP hesaplarına yürütür, dizin sayfasını çıkarır, Trojan ile enfekte bir kod ekler ve sayfayı geri yükler.

İkinci durumda, hosting sağlayıcısından gelen hesap verileri, saldırganlar tarafından bilinir, daha sonra tekrarlanan sitelerin enfeksiyonu sıklıkla gerçekleşir: Web sayfası geliştiricileri enfeksiyonu düşünün ya da site ziyaretçilerinden öğrenin, sayfayı kötü amaçlı kodlardan temizleyin, Ve ertesi gün sayfa tekrar enfekte olur.

Bir Web sayfasının bir örneği yeniden enfeksiyonu (*. *. 148.240)

Başka bir yaygın durum, barındırma üzerindeki aynı güvenlik açığı veya hesap verileri hakkında bilgi aynı anda farklı siber grupların ellerine düştüğü, aralarında mücadelenin başladığı farklı siber grupların ellerine düştüğüdür: Her grup web sitesini kötü amaçlı programı ile bulaştırmayı amaçlıyor. İşte böyle bir durumun bir örneği:

Farklı kötü amaçlı programlarla web sitesinin (*. *. 176.6) birden fazla enfeksiyon örneği.

Gördüğümüz 06/11/2009 web sitesi temizdi. 07/05/2009 Kötü niyetli bir program var Truva-Clicker.js.gent.gk. 07/15/2009 web sitesi başka bir kötülük, Trojan-Downloader.js.iframe.bin ile enfekte olmaya başladı. On gün sonra, site başka bir programla enfekte olmuş.

Bu durum oldukça sık bulunur: Web siteleri, kodları birer birer yerleştirilen farklı kötü amaçlı yazılımlar tarafından eşzamanlı olarak bulaşabilir. Bu, erişim verileri farklı cybergroups'ın ellerine düştüğünde gerçekleşir.

Aşağıdakiler, web sitesi kötü amaçlı kodlarla enfekte olursa, gerçekleştirilmesi gereken bir eylem dizisidir:

  • Barındırma sunucusuna kimin erişimi olan yükleyin. Bilgisayarlarını Internet Security ile ilgili bir veritabanı ile kontrol etmeye başlayın. Tespit edilen tüm kötü amaçlı yazılımları sil
  • Yeni bir güvenilir barındırma şifresi kurun. Güvenilir şifre Seçimi zorlaştırmak için karakterler, sayılar ve uzmanlardan oluşmalıdır.
  • Tüm enfekte olmuş dosyaları temiz kopyalarla değiştirin
  • Enfekte olmayan dosyalar içerebilecek tüm yedekleri bulun ve bunları iyileştirin.

Tecrübelerimiz, tedavi sonrası enfekte web sitelerinin genellikle yeniden enfeksiyona maruz kaldığını göstermektedir. Öte yandan, genellikle yalnızca bir kez gerçekleşir: eğer, ilk enfeksiyondan sonra, Webmaster, yeniden enfeksiyon durumunda nispeten yüzey eylemlerini sınırlayabilirse, genellikle sitenin güvenliğini sağlamak için genellikle daha ciddi önlemler alır.

Evrim: Kötü amaçlı yazılım programlarını "temiz" web sitelerine yerleştirme

Birkaç yıl önce, cybercriminals web'i kötü amaçlı programlar koymak için aktif olarak kullanmaya başladığında, genellikle sözde küfürlü barındırma veya kodlanmış kredi kartları tarafından ödendikleri barındırma yoluyla görev yaptılar. Bu eğilimi, internet güvenliği alanında çalışan şirketler, kötü niyetli kaynakların yerleştirilmesine (Amerikan Hosting Sağlayıcısı McColo ve Estonya Sağlayıcısı estromains gibi) ile mücadeledeki çabalarını birleştirdi. Olgular olduğunda, kötü amaçlı programlar, örneğin, örneğin, Çin'de, siteyi kapatmak hala zor olan kötü amaçlı sitelere, "temiz" ve tam haklı etki alanı güvenine karşı kötü amaçlı programların yerleştirilmesine yönelik önemli bir dönüş.

Eylem ve reaksiyon

Zaten konuştuğumuz gibi, siber suçlular ve anti-virüs çözümleri arasındaki sürekli bir mücadelenin en önemli yönlerinden biri, rakibin ne yaptıklarına hızlı bir şekilde cevap verme yeteneğidir. Her iki taraf da sürekli değişen mücadelenin taktiklerini değiştirir ve düşmanı engellemeye çalışırken yeni teknolojiler faaliyete geçer.

Çoğu web tarayıcısının (Firefox 3.5, Chrome 2.0 ve Internet Explorer 8.0) şimdi bir URL filtresi formuna gömülüdür. Bu filtre, kullanıcının bilinen veya bilinmeyen güvenlik açıkları için istismar içeren kötü amaçlı sitelere girmesine ve aynı zamanda kişisel verilerin çalınması için sosyal mühendislik yöntemlerini kullanmasına izin vermez.

Örneğin, Firefox ve Chrome, Google Güvenli Tarama API'sini kullanıyor, Ücretsiz servis Google'dan URL'leri filtrele. Yazma sırasında, Google Güvenli Tarama API listesi, ünlü kötü amaçlı web sitesi ve 20.000'den fazla kimlik avı web sitesi adreslerinin yaklaşık 300.000 adresini içermektedir.

Google Güvenli Tarama API, URL'leri filtrelemek için rasyonel bir yaklaşım tutar: Her bir URL'yi kontrol etmek için harici bir kaynağa göndermek yerine, bu, bu bir kimlik avı filtresini Internet Explorer 8'de nasıl yaptığını, Google Güvenli Tarama, URL'leri, MD5 algoritması. Böylece böyle bir filtreleme yöntemi etkili olması durumunda, kötü amaçlı adreslerin kontrol toplamlarının listesi düzenli olarak güncellenmelidir; Güncellemeler her 30 dakikada bir gerçekleştirmeniz önerilir. Bu yöntemin dezavantajı aşağıdaki gibidir: Kötü amaçlı web sitelerinin sayısı, listedeki girdilerin sayısından büyüktür. Listenin boyutunu optimize etmek için (şimdi yaklaşık 12 MB), sadece en yaygın kötü amaçlı siteler oraya gelir. Bu, benzer teknolojileri destekleyen uygulamaları kullansanız bile, bilgisayarınızın listeye girmeyen kötü amaçlı siteleri ziyaret ederken hala enfeksiyon riski altındadır. Genel olarak, güvenli navigasyon için geniş teknolojilerin geniş kullanımı, Web tarayıcının geliştiricilerinin, kötü amaçlı programları web siteleri aracılığıyla yayma ve cevap alması için yeni bir eğilime dikkat ettiğini göstermektedir. Aslında, yerleşik koruma olan web tarayıcıları zaten norm haline geliyor.

Sonuç

Son üç yılda, kötü amaçlı programlarla enfekte olmuş meşru web sitelerinin sayısı çarpıcı bir şekilde artmıştır. Bugün, internetteki enfekte olan web sitelerinin sayısı, üç yıldan daha önce yüzlerce daha fazla. Sık sık ziyaret edilen siteler siber suçlar için çekicidir, çünkü kısa sürede yardımlarıyla çok sayıda bilgisayar bulaşabilirsiniz.

Web yöneticileri, web sitelerinin nasıl güvence altına alınacağı konusunda birkaç basit ipucu sunabilirler:

  • Hosting hesaplarını güvenilir şifrelerle koruyun
  • Dosyaları sunuculara indirmek için, FTP yerine SCP / SSH / SFTP protokollerini kullanın - böylece kendinizi Açık Metin'de İnternet'e şifreler göndermekten koruyacaksınız.
  • Antivirüs ürününü takın ve bir bilgisayar kontrolü çalıştırın.
  • Enfeksiyon durumunda onu geri yükleyebilmek için stokta stokta birden fazla yedekleme yapın.

İnternette gezinirken, bir web sitesinden kötü amaçlı bir kodla enfeksiyon riskini artıran birkaç faktör vardır: Korsan yazılımının kullanımı, yazılım tarafından kullanılan güvenlik açıklarını kapatmak, anti-virüs çözeltileri ve genel cehalet veya eksik anlayışın bulunduğu güncellemeleri yoksayan İnternetteki tehditlerin.

Korsan programları, kötü amaçlı programların yayılmasında önemli bir rol oynamaktadır. Korsan Kopyaları Microsoft Windows.genellikle desteklemez otomatik güncellemelerMicrosoft tarafından üretilen Macrosoft, siber suçlamaları bu ürünlerde kapatılmamış güvenlik açıklarını kullanma fırsatı sunar.

Ayrıca, eski İnternet versiyonu Explorer, hala en popüler tarayıcı, çok sayıda güvenlik açıkına sahip. Çoğu durumda, Internet Explorer 6.0, herhangi bir kötü amaçlı web sitesinin kötü niyetli etkilerinden korunmasız yüklü güncellemeler olmadan. Bu nedenle, korsan yazılımını, özellikle de pencerelerin korsan kopyalarını kullanmaktan kaçınmak son derece önemlidir.

Başka bir risk faktörü, kurulu bir antivirüs programı olmayan bir bilgisayardır. En son güncellemeler sistemin kendisine yüklense bile, üçüncü taraf yazılımlarındaki sıfır gün güvenlik açıkları aracılığıyla kötü amaçlı bir kodu nüfuz edebilir. Güncellemeler antivirüs yazılımı genellikle yamalardan çok daha sık üretilir yazılım Ürünlerve düzeltmelerin henüz güvenlik açıklarına bir kenara bırakıldığı dönemde sistemin güvenliğini sağlamak.

Ve gerekli güvenlik seviyesini korumak için, programlar için güncellemelerin kurulumu önemlidir, insan faktörü önemli bir rol oynar. Örneğin, kullanıcı, şebekeden indirilen, kötü amaçlı bir program tarafından atıldığı video yerine, ağdan indirilen "ilginç videoyu" izlemek isteyebilir. Böyle bir numara, istismarlar giremezse, genellikle kötü amaçlı sitelerde kullanılır. İşletim sistemi. Bu örnekte, kullanıcıların neden hangi tehlikenin internet tehditlerini temsil ettiğini, özellikle de sosyal ağlar (Web 2.0), son zamanlarda aktif olarak siber suçlulara saldırdı.

  • Korsan programlarını indirmeyin
  • Her zaman yükseltme: işletim sistemi, web tarayıcıları, PDF dosyalarını, oyuncuları vb. Görmek için programlar.
  • Kaspersky Internet Security 2010 gibi bir antivirüs ürünü takın ve her zaman kullanın.
  • Çalışanlarınızın her ay, www.viruslist.com gibi güvenlik web sitelerini, internet tehditleri ve koruma yöntemleri hakkında bilgi edinebilecekleri, www.viruslist.com gibi güvenlik web sitelerini incelemek için birkaç saat vermiştir.

Son olarak, hatırla: Enfeksiyonun iyileştirilmesinden daha kolay uyar. Güvenlik önlemlerini al!

Halen, çoğu bilgisayar saldırısı kötü amaçlı web sayfalarını ziyaret ederken ortaya çıkar. Kullanıcı, kimlik avı sitesinin gizli verilerini sağlayarak ya da tarayıcı güvenlik açıklarını kullanarak sürücü indirme saldırısının kurbanı haline gelerek yanıltıcı olabilir. Böylece, modern antivirüs, yalnızca doğrudan kötü amaçlı yazılımlardan değil, aynı zamanda tehlikeli web kaynaklarından da koruma sağlamalıdır.

Anti-virüs çözümleri, kötü amaçlı yazılımlara sahip siteleri belirlemek için çeşitli yöntemler kullanın: İmza veritabanının ve sezgisel analizlerin karşılaştırılması. İmzalar için kullanılır doğru tanım Ünlü tehditler, sezgisel analiz tehlikeli davranış olasılığını belirler. Virüs tabanını kullanmak, asgari sayıda yanlış pozitif sağlayan daha güvenilir bir yöntemdir. fakat bu method Bilinmeyen en yeni tehditleri tespit etmesine izin vermez.

İlk başta ortaya çıkan tehdit, Anti-Virus Satıcı Laboratuvarı personeli tarafından tespit edilmeli ve analiz edilmelidir. Analize dayanarak, kötü amaçlı yazılım bulmak için kullanılabilecek uygun bir imza oluşturulur. Aksine, sezgisel yöntem, şüpheli davranış faktörleri temelinde bilinmeyen tehditleri belirlemek için kullanılır. Bu method Tehlike olasılığını değerlendirir, bu nedenle yanlış cevaplar mümkündür.

Kötü niyetli referanslar tespit edildiğinde, her iki yöntem de aynı anda çalışabilir. Yasaklanmış sitelerin listesine (kara listesi) tehlikeli bir kaynak eklemek için, içeriği indirerek ve bir antivirüs veya izinsiz giriş algılama sistemi (intrüktör sistemi) kullanarak taramayı analiz etmek gerekir.

Aşağıda, Suricata IDS Sistem Olay Günlüğü'nü engellerken

İmzalarla tanımlanan tehditleri gösteren bir IDS sistemi raporunun bir örneği:

Kötü niyetli bir siteyi ziyaret ederken ilan bilinen antivirüs uyarısı örneği:

Ziyaret edilen siteleri doğrulamak için müşteri tarafında sezgisel analiz yapılır. Özel olarak tasarlanmış algoritmalar, ziyaret edilen kaynak tehlikeli veya şüpheli özelliklerde ise kullanıcıyı uyarır. Bu algoritmalar, bir içeriğin sözcüksel bir analizine veya kaynağın yerinin değerlendirilmesinde inşa edilebilir. Lexical tanım modeli, kullanıcıyı kimlik avı saldırıları sırasında uyarır. Örneğin, türlerin URL adresi " http://paaypall.5gbfree.com/index.php."veya" http://paypal-intern.de/secure/"Bilinen kimlik avı kopyaları olarak kolayca tanımlanır Ödeme sistemi "PayPal".

Kaynak konaklama analizi, barındırma ve bir alan adı hakkında bilgi toplar. Elde edilen verilere dayanarak, uzman algoritma, sitenin tehlikesinin derecesini belirler. Bu veriler genellikle coğrafi verileri, kayıt cihazı ve etki alanını kaydeten kişi hakkında bilgi içerir.

Aşağıda, bir IP adresine birkaç kimlik avı alanının yerleştirilmesi örneğidir:

Sonuçta, siteleri değerlendirmenin birçok yoluna rağmen, hiçbir tekniği sisteminizin% 100 garanti korumasını sağlayamaz. Yalnızca birkaç bilgisayar güvenliği teknolojisinin ortak kullanımı, kişisel verilerin korunmasına kesin bir güven vermenizi sağlar.

  • kullanıcılar web sitesinin bir tarayıcı ve / veya programlar tarafından engellendiğinden şikayetçi
  • web sitesi, siyah Google listesine veya başka bir kötü amaçlı URL'lerin başka bir veritabanına dahil edilmiştir.
  • trafik hacminde ve / veya arama motoru sıralamasında ciddi değişiklikler yapılmıştır.
  • web sitesi olması gerektiği gibi çalışmaz, hatalar ve uyarılar sağlar
  • web sitesini ziyaret ettikten sonra, bilgisayar garip davranır.

Genellikle, kötü amaçlı kodlar, özellikle çok karmaşık kötü amaçlı yazılımların enfekte olmadığı durumlarda uzun süre fark edilmemektedir. Bu tür kötü amaçlı yazılımlar genellikle web sitelerinin ve virüsten koruma programlarının yanlış yönlendirilmesi ve yöneticileri için güçlü bir şekilde açıklanmaktadır; Kullanıcıların yönlendirildiği her zaman etki alanı adlarını değiştirir, böylece siyah listeler. Yukarıdaki semptomlardan biri yoksa, bu,% 100 olmasa da, Sunucu Temizliğinizin iyi bir figürüdür; Bu nedenle, şüpheli herhangi bir aktiviteye uyanık kalın.

Herhangi bir kötü amaçlı yazılımla en açık enfeksiyon işareti, bir veya daha fazla dosyada, esas olarak HTML, PHP veya JS formatında ve bir süre ASP / ASPX'te kötü amaçlı / şüpheli bir kodun varlığıdır. Bu kod, en azından programlama ve web sitesi geliştirme temellerini bulmak kolay değildir. Okuyucunun daha iyi olduğu için, kötü amaçlı bir kod gibi görünüyor, web sayfalarının en yaygın enfeksiyonunun birkaç örneğini veriyoruz.

Örnek 1: Basit Yönlendirme

Cybercriminals tarafından kullanılan en eski ve en basit yöntem, sunucudaki HTML dosyası koduna basit bir HTML iframe etiketi eklemektir. Kötü amaçlı web sitesini iframe yüklemek için kullanılan adres, SRC niteliği olarak belirtilir; "Gizli" değeri olan görünürlük niteliği, çerçeveyi web sitesine katılan kullanıcıya görünmez hale getirir.

Şekil 1: Web sitesinin HTML web sitesinin içindeki kötü amaçlı iframe

Kullanıcı tarayıcısında kötü amaçlı bir komut dosyası yapmanın bir başka yöntemi, bu komut dosyasına, SCRIPT etiketlerinde veya IMG'deki SRC niteliği olarak HTML dosyasına bağlantıların tanıtılmasıdır:

Şekil 2: Kötü niyetli bağlantıların örnekleri

Son zamanlarda, kötü amaçlı kod, kötü amaçlı JS veya PHP komut dosyalarının HTML kodunda dinamik olarak oluşturulduğu ve uygulandığında giderek daha fazla durumlar vardır. Bu gibi durumlarda, kod yalnızca sayfanın kaynak kodunun tarayıcıdan temsil edilmesinde, ancak sunucudaki fiziksel dosyalarda görünmüyor. CyberCriminals ayrıca kötü amaçlı kod oluşturulduğunda koşulları ek olarak belirleyebilir: Örneğin, yalnızca kullanıcı belirli arama motorlarından bir siteye geçtiğinde veya belirli bir tarayıcıda bir web sitesi açtığında.

Web sitesinin aldatılması ve sahibi ve virüsten koruma yazılımı, kötü amaçlı bir kod yapmanın yanı sıra, cybercriminals çeşitli kodlar sıkışma yöntemleri kullanır.

Örnek 2: "Hata 404: Sayfa bulunamadı"

Bu örnekte, kötü amaçlı kod, belirtilen nesne sunucuda bulunamadığında görüntülenen mesaj şablonuna gömülüdür (iyi bilinen "hata 404"). Ek olarak, index.html / index.php dosyaları, kullanıcının virüslü web sayfası tarafından her bir kullanıcının her ziyaretinde bulunduğunda bu hatayı belirsiz bir şekilde aramak için mevcut olmayan herhangi bir öğeye bağlantı ile uygulanır. Bu yöntem biraz karışıklığa neden olabilir: Web sitesinden sorumlu bir kişi, belirli bir virüsten koruma çözümünün web sitesini enfekte olarak işaretlediği bir mesaj alır; Yüzey kontrolünden sonra, görünüşte bulunmayan nesnede kötü amaçlı kodun bulunduğu ortaya çıktı; Bu, yanlış bir alarm olduğunu varsaymak (hatalı bir şekilde) bir cazibeye yol açar.

Şekil 3. trojan.js.iframe.zs - Hata Mesajında \u200b\u200bKötü Amaçlı Yazım Şablonu 404

Bu özel durumda, kötü amaçlı kod yandı. Deobcusation'dan sonra, komut dosyasının amacının, kullanıcıları kötü amaçlı bir URL'ye yönlendirmek için kullanılacak olan IFrame etiketinin tanıtımı olduğunu görebiliriz.

Şekil 4. trojan.js.iframe.zs - Deobcusation'dan sonra kötü amaçlı kod

Örnek 3: Seçici Mal Kodu Uygulaması

Benzer bir kod, aynı sunucuya indirilen kötü amaçlı bir PHP komut dosyası kullanarak sunucuda bulunan tüm HTML dosyalarına dinamik olarak (yani, özel koşullara bağlı olarak) birleştirilebilir ve birleştirilebilir. Aşağıdaki örnekte gösterilen komut dosyası, Userjent parametresini (kullanıcı tarayıcısına, arama botlarına gönderilir) ve web sitesi bot tarafından taranırsa veya sitenizin ziyaretçilerinin tadını çıkarırsa kötü amaçlı bir kod eklemez. opera tarayıcılarıveya safari. Böylece, saldırı için kullanılan belirli bir istismarına gelen tarayıcıların kullanıcıları bu istismarlara yönlendirilmeyecektir. Ayrıca, koddaki yorumların kasıtlı olarak yanıltıcı olduğunu, bu komut dosyasının bot istatistikleriyle ilgisi olduğu fikrine yol açtığını belirtmekte fayda var.

Şekil 5. Trojan.php.iframer.e - PHP betiğini enfekte edin

Bu yöntem ayrıca ters yönde de kullanılabilir: Sibercriminaller, yalnızca arama botu web sitesine girerse, yasadışı, şüpheli veya kötü amaçlı içeriğe (spam, casus yazılım, yazılım, kimlik avı kaynakları) yol açan referansları uygulayabilir. Böyle bir saldırının amacı, siyah optimizasyon olarak adlandırılan siyah optimizasyondur - siber-suç kaynağının iadesi arayışında konumunu yükseltme mekanizması. Bu tür kötü amaçlı yazılımlar genellikle yüksek derecelendirme ile popüler web portallarına yönlendirilir ve kötü amaçlı kodların normal kullanıcıya asla gösterilmemesi nedeniyle tespit etmek oldukça zordur. Sonuç olarak, kötü amaçlı web siteleri arama motorlarında yüksek bir puan alır ve arama sonuçlarının üst aşamalarında olduğu ortaya çıktı.

Örnek 4: Yüzeysellik

PHP komut dosyalarını enfekte etmek de başka formlar alabilir. Aşağıdakiler birkaç ay önce keşfedilen iki örnektir.


Şekil 6. Trojan-downloader.php.kscript.a-Basınç PHP Script


Şekil 12. Trojan-downloader.js.twetti.t - JS dosyalarında uygulanan kötü amaçlı kod

Son olarak, rastgele alan adlarını kullanan kötü amaçlı yazılımlar tarafından bilinen bir kütle enfeksiyonu vakası vardır. Bu kötü amaçlı yazılımla enfeksiyon durumunda, web sitenizdeki aşağıdaki kodu algılayabilirsiniz:

Şekil 13. Bir etki alanı rastgele oluşturulacak şekilde yönlendiren kodun bir bileşen versiyonu

Örnek 6: "Gootkit" ve tüm dosyanın bulamasını

Obfused kötü amaçlı kod, temiz kodun geri kalan kısmı arasında tespit etmek kolaydır ve bu nedenle yakın zamanda siber suçlular, dosyanın içeriğine uyma fikrine, böylece okunamayan hem gömülü hem de meşru kod. Meşru kodu kötü niyetliden ayırmak imkansızdır ve dosyayı yalnızca şifre çözmeden sonra tedavi edebilirsiniz.

İncir. 14. Malware tarafından açıklanan dosya "Gootkit"

İlk şaşkınlık seviyesinden kurtulmak kolaydır, çünkü bunun için, EVAL () işlevini, konsolun durumunda uyarı () - veya baskı ()) değiştirmeniz yeterlidir - ve yürütmede çalıştırın. İkinci seviye biraz daha karmaşıktır: Bu durumda, etki alanı adı kodu şifrelemek için bir anahtar olarak kullanılır.

İncir. 15: "Gootkit" - İkinci Bir Gezici Seviye

Şifre çözüldükten sonra, dosyanın orijinal içeriği için geçerli kötü amaçlı bir kod görebilirsiniz:

İncir. 16: "Gootkit" - Deobcuscated kod

Bazen kötü amaçlı bir kısım, önceki örnekte tartışılan kötü amaçlı yazılımın ikinci versiyonu olarak ortaya çıkar ve yeniden yönlendirme için sahte rastgele bir alan adı oluşturmak için kullanılır.

Örnek 7: .htaccess

Scriptlerin ve HTML kodlarının enfeksiyonu yerine, siber suçlar, örneğin, örneğin bazı dosyaların özelliklerini kullanabilir. Bu tür dosyalarda, yönetici, sunucudaki belirli klasörlere erişim haklarını tanımlayabilir, ayrıca belirli koşullar altında, kullanıcıları diğer URL'lere yönlendirebilir (örneğin, kullanıcı bir mobil cihaz tarayıcısından gelirse, yönlendirilirse, mobil versiyon İnternet sitesi). Siber suçlunun böyle bir işlevi kullandığını tahmin etmek zor değil ...

İncir. 17: kötü niyetli.htaccess.

Yukarıdaki örnekte, kendilerini bu web sitesinde, çoğu ana arama motorundaki bağlantıyı takip eden tüm kullanıcılar (HTTP_Referer parametresi), kötü amaçlı bir URL'ye yönlendirilir. Ek olarak, bu dosyada. HTACCESS, yönlendirmenin yapılmadığı kadar çok sayıda tarayıcı ve bot vardır (http_user_agent parametresi). Yeniden yönlendirme, Web sayfası önbellekten (referans \u003d\u003d önbellek) okunursa veya aynı bilgisayardan (Çerez parametresi) yüklenirse oluşmaz.

Bu kötü amaçlı yazılım, daha fazla seçici enfeksiyon yapmayı mümkün kılar - örneğin, belirli IP adresleri hariç tutulabilir ve belirli bir IP adresi aralığından web sitelerini görüntülerken - örneğin Şirkete aittir. bilgi Güvenliği - Kötü niyetli sonuçların verilmesi yoktur.

Saldırı ve enfeksiyon teknolojisi vektörleri

Kullanılan teknolojilerden bağımsız olarak, siber suçlular, kötü amaçlı dosyaları bir sunucuya veya sunucuda zaten var olan dosyaları değiştirme için bir yöntem bulması gerekir. Sunucuya erişim kazanmak için en ilkel yöntem, bir hack erişim şifresidir. Bunu yapmak için, siber suçlar, sözde saldırıyı sarhoş edici yöntemle veya sınırlı versiyonu - çürük (kelime saldırısı) düzenlemesi yöntemiyle kullanabilirler. Bu tür taktikler genellikle çok fazla zaman ve kaynak gerektirir, bu nedenle nadiren web sitelerinin enfeksiyonu ile kullanılır. Daha popüler senaryolar arasında, şifrelerin çalınması için güvenlik açıklarının ve kötü amaçlı yazılımların işletilmesidir.

İçerik Yönetim Sistemi Güvenlik Açıkları / E-Ticaret Sistemini Kullanma

Modern web içeriği yönetim platformlarının (içerik yönetimi sistemi (CMS), e-ticaret, kontrol paneli vb. Gibi) çoğu kusurludur ve diğer kişilerin, dosyaları sunucuya yüklemek için kimlik doğrulaması yapılmasını sağlayan güvenlik açıklarına sahiptir. Ve bu tür güvenlik açıkları için arama, geliştiriciler sürekli olarak öne geçmesine rağmen, yamaların serbest bırakılması çok fazla zaman alır; Ek olarak, birçok kullanıcı, programların eski sürümlerini kullanmaya devam ediyor büyük miktar Hatalar. Çoğu zaman güvenlik açıkları, WordPress, Joomla ve OsCeterce gibi en popüler platformlarda doğal olarak.

Bu tür bir güvenlik açığının iyi bilinen bir örneği, cibercriminals tarafından çeşitli sürüş senaryolarında yaygın olarak kullanılan Timthumb'dır. TIMTHUMB - PHP modülü Görüntülerin boyutunu değiştirmek ve sözde grafik küçük resimleri oluşturur. CMS-In-Case şablonlarının çoğunda dahil edilmiştir. Güvenlik açığı, uzak bir makinede bulunan dosyaları sunucuya, önbellek dizinine kaydetmenizi sağlar. Başka bir örnek bir güvenlik açığıdır SQL Enjeksiyonu Plesk panelinde (sürüm 10 yaşında), Şubat 2012'de bulunan, veritabanlarını okumanıza ve şifreleri çalmanıza olanak tanır, bu - son zamanlarda açıkça saklandılar. Böyle bir şekilde elde edilen kayıt verileri muhtemelen yakın tarihli bir web salgını http://www.securelist.com/tr/blog/208193624/who_is_attacking_me ile kullanılmıştır; https://www.securelist.com/ru/blog/208193713/runforestrun_gootkit_i_generirovanie_sluchasyynykh_domnykh_imen.

FTP sunucusuna erişmek için kimlik bilgilerini çalmak için casus yazılım kullanarak

En yaygın web infağlarında (örneğin, Gumblar ve Pegel), başka bir yöntem başarılı oldu. İlk aşamada, Cybercriminals, FTP istemcisi ayarlarını veya ağ trafiğini tarayarak FTP Hesaplarına kullanıcı adlarını ve şifreleri aramak ve çalmak için özel olarak tasarlanmış kötü amaçlı programları dağıtır. Enfekte bir site yöneticisinin sitesinde bu kayıt verilerinin kötü amaçlı yazılımını bulduktan sonra, program FTP sunucusuyla bağlantı kurar ve kötü amaçlı komut dosyalarını yükler veya orijinal dosyalar yerine virüslü sürümlerini yazar. Hesabın hesabının bilgisayarı enfekte olduğu sürece, kayıt verilerini değiştirdikten ve tüm içeriği net yedeklemeden geri yükledikten sonra bile tekrar kaydedilen dosyalar tekrar ve tekrar şişirilir.

Siber Suç Hedefleri

Web sitelerinin enfeksiyonunun amacı nedir?

  • kullanıcıları, bilgisayarlarında kötü amaçlı programların görünmez bir kurulumu için kullanıcılara iletme;
  • kullanıcıları spam, kimlik avı ve diğer kötü amaçlı, yasadışı veya istenmeyen içerik üzerine iletme;
  • görme / Site ziyaretlerinin çalınması / arama sorguları.
  • kötü niyetli / yasadışı web sitelerinin ve spam içeren web sitelerinin tanıtımı (siyah optimizasyon);
  • yasadışı faaliyet için sunucu kaynaklarını kullanma.

Özünde, burada yeni bir şey yoktur: Web siteleri takarken, siber suçlar dolaylı kar elde etme arzusunu hareket ettirir.

Kötü niyetli kodun ortadan kaldırılması için yöntemler

Ya siteniz bilgisayar korsanlarına saldırdıysa?

Öncelikle, olası bir enfeksiyon hakkında konuşan semptomları gözlemlerseniz, sorun giderene kadar web sitesini derhal devre dışı bırakmak gerekir. Bu gerçekten çok önemlidir, çünkü her zaman gecikme anı siber suçun elinde oynar, daha fazla bilgisayarı enfekte etmenize ve enfeksiyonu dağıtmanıza izin verir. Sunucu günlüklerini şüpheli etkinlik için kontrol etmelisiniz, örneğin, sitedeki IP adreslerinden gelen garip talepler, saha ziyaretçileri vb. - Enfekte olmuş dosyaları ve tanımları tespit etmek için faydalı olabilir, tam olarak siber suçlamaların sunucuya nasıl erişebileceği.

Ama kötü amaçlı kodla nasıl başa çıkılır?

Yedek kopya

En Hızlı I. güvenilir yol Sunucunun tüm içeriğini geri yükleyin - saf bir yedekleme kullanarak. Etkili hale getirmek için, sunucuda çalışan eksiksiz bir yeniden yükleme yazılımı (içerik yönetim sistemleri / CMF, e-ticaret sistemi vb.). Tabii ki, bunun için en son, tam güncellenmiş sürümleri kullanmanız gerekir. Bu işlemlerden sonra, sunucuda enfekte olmamalıdır - iyileşmeden önce tüm içerikleri silinmeniz şartıyla, saldırı başlamadan önce yedekleme oluşturulmuştur.

Otomatik kontrol

Net yedekleme yoksa, kötü amaçlı yazılımlarla savaşmaya başlayacak bir şeyin yok. Neyse ki, virüs anti-virüs ürünleri ve http://sucuri.net/ gibi çevrimiçi web tarayıcıları dahil olmak üzere kötü amaçlı kod bulmaya yardımcı olacak bir dizi otomatik çözüm vardır. Hiçbiri ideal değil, ancak iyi bilinen / sıradan kötü amaçlı yazılım durumunda, hepsi çok faydalı olabilirler. Birden fazla çevrimiçi tarayıcıyı kullanarak web sitesini kontrol edebileceğiniz gerçeğiyle başlayalım. Bazıları yalnızca sitenizin gerçekten enfekte olup olmadığını belirlemeyecektir, aynı zamanda dosyalarınızda kötü amaçlı bir kodu da belirtir. Ardından, sunucudaki tüm dosyaların tam bir anti-virüs kontrolü yapabilirsiniz.

Sunucu sahibi iseniz veya sunucuda çalışırsa güvenlik çözümüHakladığınızın kullanımı, sunucu tarafını kontrol edebilirsiniz. Bazı virüsten koruma tarayıcıları virüslü dosyaları tedavi etmediğinden, dosyalarınızın bir kopyasını oluşturduğunuzdan emin olun, ancak bunları kaldırın! Ayrıca, sunucunuzun içeriğini yerel bir bilgisayara indirebilir ve sabit bir bilgisayar için bir antivirüs çözümü ile kontrol edebilirsiniz. İkinci seçenek tercih edilir, çünkü sabit bilgisayarlar için modern anti-virüs programı iyi gelişmiş bir sezgisel modül var. Web sitelerini etkileyen kötü amaçlı programlar, yüksek polimorfik: ve eğer, mücadele ederken, imza analizi pratik olarak işe yaramazsa, sezgisel olarak kolayca tespit edilmelerine izin verir.

Manuel kaldırma

Eğer bir otomatik kontrol Sonuç vermedi ve sitenizin enfeksiyonunun raporlanması hala geliyor, kötü amaçlı yazılımdan kurtulmanın tek yolu manuel olarak bulmak ve tüm kötü amaçlı kodları silmek. Bu zor görev önemli bir zaman alabilir, çünkü her dosyayı kontrol etmenin gerekli olduğu için - kötü amaçlı komut dosyaları için HTML, JS, PHP veya Configuration dosyası olsun. Yukarıdaki örnekler, web siteleri için çeşitli kötü amaçlı yazılımların sadece küçük bir parçasıdır, bu nedenle sitenizdeki kötü amaçlı kodların bu örneklerden kısmen veya tamamen farklı olmaları olasılığıdır. Bununla birlikte, web sitelerinin modern kötü amaçlı yazılımının çoğu, bazı ortak özelliklere sahiptir ve bu özelliklerin sorunun belirlenmesinde yardımcı olacaktır.

Hepsinden önemlisi, net olmayan veya okunamayan görünen kodun bölümlerine dikkat etmek gerekir. Kod Obfusion - Genellikle kullanılan teknoloji, web siteleri ile ilgili diğer yazılımlar için oldukça olağandışıdır. Kodunuza uymadıysanız, bunun hakkında şüphe duymanız için herhangi bir nedeniniz var. Ama dikkatli olun - kötü niyetli tüm şaşkın kod olmaz!

Benzer şekilde, herhangi bir kötü niyetli komut dosyası yanmaz, bu nedenle, iframe etiketlerinin açıkça ve diğer dosyalarınızda harici kaynaklara diğer bağlantılara sahip olup olmadığını aramak mantıklıdır. Bazıları ile ilgili olabilir reklam Duyuruları ve istatistikler, ancak iyi bilinen ve güvenilir portalların bir tür adresi olan, karıştırabilen, özel olarak oluşturulmuş URL'lerin olta almasına girmeyin. Şablon hata mesajlarını ve tüm dosyaları kontrol etmeyi unutmayın. HTACKESS.

Sunucuda kötü amaçlı bir kod bulmak için faydalı araçlar Kuşkusuz GREP ve Neredeyse tüm sistemlerde etkin olan, varsayılan olarak, komut satırı modunda çalıştırılan yardımcı programlardır. uNIX tabanlı temel. Aşağıda, en yaygın enfeksiyonların teşhisinde kullanımlarının örnekleri bulunmaktadır:

grep -irs "iframe" *
grep -irs "eval" *
grep-"Unescape" *
grep -rs "Base64_deCode" *
grep -irs "var div_colors" *
grep -irs "var _0x" *
grep -rs "corelibrarieshandler" *
grep -rs "pingnow" *
grep -rs "Serchbot" *
grep -irs "km0ae9gr6m" *
gREP -RS "C3284D" *
bul. -İname "upd.php"
bul. -Name "* timthumb *"

GREP Açıklama (Linux Kılavuzundan): Şablona karşılık gelen yazdırma hatları; İsteğe bağlı -i, kaydı yoksay anlamına gelir; -R özyinelemeli arama anlamına gelir ve -S, hata mesajlarının ekranını önler. Listelenen komutların ilki iframe etiketi dosyalarını arıyor; Diğer üç, en belirgin gizlenme belirtilerini arıyor; Gerisi, web sitelerinin bilinen en büyük enfeksiyonu ile ilişkili özel satırlar arıyor.

Bulundan gelince, Linux manuel: Klasör Hiyerarşik yapısındaki dosyaları arayın; "." (NOKTALAR) Geçerli dizini gösterir (bu nedenle komut verilerinin aşağıdaki kök dizininden veya sunucudaki (Ana Sayfa) dizininden çalıştırın), -iname parametresi, imzalanacak dosyayı belirler. Kullanılabilir düzenli ifadeler Bazı kriterlere karşılık gelen tüm dosyaları aramak için.

Tabii ki, her zaman ne aramayı bilmeniz gerekir - tüm sonuçlar enfeksiyonu gösterecektir. Kodun şüpheli kısımlarını bir antivirüs tarayıcısı tarafından kontrol etmek ya da Google'da arama yapmayı denemek için fena değil. Hem kötü amaçlı hem de temiz kod için bazı cevaplar bulacaksınız. Hala dosyanın enfekte olup olmadığından emin değilseniz, bir uzmana tavsiye almak için herhangi bir işlem yapmadan önce web sitesini (sadece durumunda) devre dışı bırakmak en iyisidir.

Çok önemli!

Sunucudaki dosyaların temizlenmesinin yanı sıra, sunucudaki içeriği indirmek ve yönetmek için kullanılan tüm bilgisayarların tam bir anti-virüs kontrolü yapmak ve sunucudaki tüm hesaplara erişmek için tüm verileri değiştirmek için gereklidir (FTP, SSH, Kontrol Paneli) vb.) Desteklediğiniz.

Web Siteleri İçin Güvenlik Temelleri

Ne yazık ki, çoğu durumda, kötü amaçlı kodların çıkarılması, enfeksiyondan bir kez ve sonsuza dek kurtulmak için yeterli değildir. Web siteniz enfekte olursa, siber suçlamaların sunucuya kötü amaçlı komut dosyalarını uygulamalarını sağlayan güvenlik açıklarının varlığı ile ilgili olabilir; Ve bu sorunu dikkatlice bırakırsanız, yakın gelecekte yeni enfeksiyon sizi bekliyor. Bunu önlemek için, sunucuyu yönetmek için kullanılan sunucuyu ve bilgisayarı / bilgisayarları korumak için uygun önlemler almanız gerekir.

  • Kalıcı şifreleri kullanarak. Bu konseyin önemsizliğine rağmen, bu gerçekten sunucu güvenliğinin temelidir. Yalnızca her olaydan sonra şifreleri değiştirmek ve / veya sunucuya saldırı yapmak için gereklidir - örneğin, aylık olarak düzenli olarak değişmelidir. İyi şifre www.kaspersky.com/passwords adresinde bulunabilecek özel kriterlere uymak zorundadır;
  • Düzenli güncelleme. Düzenli güncellemeleri de unutmamalısınız. Cybercriminaller genellikle kötü amaçlı bir programın amacına bakılmaksızın, bilgisayar kullanıcılarına veya web sitelerine yönelik olup olmadığına bakılmaksızın güvenlik açıklarını kullanır. Sunucunuzu / site içeriğinizi yönettiğiniz tüm programlar en çok olmalıdır son sürümlerVe her güvenlik güncelleştirmesi hemen çıktısına yüklenmelidir. Kullanma gerçek versiyonlar Gerekli tüm yamaların yazılımı ve zamanında montajı, istismarları kullanarak saldırı riskini azaltmaya yardımcı olacaktır. Http://cve.mitre.org/ sitesinde düzenli olarak güncellenen ünlü güvenlik açıkları listesi bulunmaktadır;
  • Düzenli yedekleme oluşturma. Sunucu içeriğinin stokta net bir kopyasına sahip olması, taze yedekleme kopyalarının, enfeksiyonun tedavisine ek olarak, diğer problemlerin çözülmesinde çok faydalı olduğunu belirtmemek için çok zaman ve çaba tasarruf edersiniz;
  • Düzenli dosya kontrolleri. Açık enfeksiyon belirtileri yokluğunda bile, kötü amaçlı kodun tanımlanması için sunucudaki tüm dosyaları periyodik olarak taraması önerilir;
  • PC güvenliğini sağlamak. Web siteleri için önemli miktarda kötü amaçlı yazılımın enfekte olmuş PC'lerle dağıtıldığından, web sitenizi yönetmek için kullanılan sabit bir bilgisayarın güvenliği, web sitesi güvenliğinin öncelik yönlerinden biridir. Bilgisayarınızın temizliği ve güvenliği için sürekli destek, web sitenizin de güvenli ve virüslerden korunacağı olasılığını önemli ölçüde arttırır.
  • Zorunlu (ancak yeterli değil) aşağıdaki işlemler olmalıdır:
    • kullanılmayan programları silmek;
    • gereksiz hizmet ve modüllerin devre dışı bırakılması;
    • bireysel kullanıcılar ve kullanıcı grupları için uygun politikaları belirlemek;
    • belirli dosyalara ve dizinlere yeterli erişim haklarını takma;
    • dosyaları ve Web Sunucusu dizinini devre dışı bırakın;
    • olay günlüklerini korumak, şüpheli faaliyetler için düzenli olarak doğrulandı;
    • Şifreleme ve güvenli protokolleri kullanın.

Web sitelerini bulaştırmak için tasarlanan kötü amaçlı yazılımlar, web yöneticileri ve internet kullanıcıları için gerçek bir kabus olabilir. CyberCriminals, teknolojilerini sürekli olarak geliştirerek yeni istismarlar açarlar. Kötü amaçlı yazılım, internet üzerinden hızlı bir şekilde dağıtılır, sunuculara ve iş istasyonlarını vurur. Haklı olarak tamamen ortadan kaldırmanın güvenilir bir yolunu söyleyin bu tehdit mevcut değil. Bununla birlikte, her bir web sitesi sahibi ve her İnternet kullanıcısı, İnternet'i daha güvenli hale getirebilir, temel güvenlik kurallarını gözlemleyebilir ve web sitelerinin ve bilgisayarlarının güvenliğini ve temizliğini sürekli destekleyebilir.

Yorumunuzu bırakın!

"Kötü niyetli yazılım" için kısa. Bilgisayarınızda, bir bilgisayar sistemine infilat etmek veya zarar vermek için tasarlanan yazılımlar için kullanılan bir terimdir. Bazen Firefox'ta bir sorun, bilgisayarınızda yüklü olan kötü amaçlı yazılımların bir sonucu olabilir. Farkında olun. Bu makalede, ortak semptomların ne olduğu ve kötü amaçlı yazılımların nasıl kurulmasını ve onlardan kurtulacağını açıklar.

İçindekiler.

Firefox problemimin kötü amaçlı yazılımın bir sonucu olduğunu nasıl bilebilirim?

Belirtiler çeşitlidir ve kötü amaçlı yazılımlara bağlıdır, ancak bu davranışların bir veya birkaçına sahipseniz, bilgisayarınızda yüklü olan kötü amaçlı yazılımınız olabilir.

  • Bazı reklam popülerleri her zaman gösterir, Açılır pencereleri engellediniz. Popup'ları engelleme konusunda moreformasyon için, bkz.
  • Aramalarınız başka bir siteye yönlendirilir Bu web sitesinden içeriğinizi beslemek için ve bunları engellemekten izin verilmiyorsunuz. Daha fazla bilgi için, bkz. Yanlış aramalar sizi yanlış Searche web sitesine götürür.
  • Ana Sayfanız kaçırıldı. Ana sayfanızı ayarlama hakkında daha fazla bilgi için.
  • Firefox asla yüklenmeyi bitirmez veya belirli web sitelerini yükleyebilir ". Daha fazla bilgi için, bkz. Web siteleri bir iplik tekerleği gösteriyor ve asla yüklenmeyi bitirmiyor ve Firefox belirli web sitelerini yükleyemiyor.
  • Firefox çöküyor ya da çok uğraşır. Daha fazla bilgi için, bkz. Firefox Crases - Sorun Giderme, Önleme ve Yardım Yardım Kazaları ve Firefox'u asılı veya yanıt vermiyor - nasıl düzeltilir.
  • Firefox başlamıyor. Daha fazla bilgi için, bkz. Firefox'u Kazandı - Çözümleri Bulun.
  • Facebook ile bağlantı ile ilgili sorunlar. Facebook'la ilgili sorunlar hakkında daha fazla bilgi için, bkz. Facebook oyunları, sohbet ve daha fazlası ile sorunları düzeltme.
  • Firefox birçok sekmeyi açmaya devam ediyor o pencereler. Daha fazla bilgi için, bkz. Firefox, bir linke tıkladıktan sonra tekrar tekrar boş sekmeleri veya pencereleri açar.
  • İstenmeyen araç çubukları kuruldu. Firefox'u özelleştirme hakkında daha fazla bilgi için, bkz. Firefox Arama veya Ana Sayfanızı devralmış bir araç çubuğunu kaldırın ve Babylon Toolbar, Ana Sayfa ve Arama Motorunun nasıl kaldırılacağını.

Kötü amaçlı yazılımların yüklenmesini nasıl önlerim?

Kötü amaçlı yazılımın bilgisayarınıza yüklenmesini önlemek için izlenecek basit kurallar var:

  • Seni tut. İşletim sistemi Ve diğer yazılım güncellendi: Kötü amaçlı yazılımın montajı genellikle, daha sonraki sürümlerde yamalı olabilecek diğer programlarda bilinen güvenlik açıklarından yararlanır. Kullandığınız tüm yazılımların en son sürümünü kullandığınızdan emin olun, ya yazılımın otomatik güncelleme özelliğini etkinleştirerek veya yazılım sağlayıcısından güncellemeleri kontrol ederek Ve Windows Update özelliğini kullanarak.
  • Güvenilmeyen bir yazılımı kurmayın: Bazı web siteleri, tarayıcınızı hızlandırmak için, Web'de arama yapmanıza yardımcı olmak için, Firefox'un zaten yaptığı şeyleri yapan araç çubuklarını eklemek için web'de arama yapmanıza yardımcı olacak yazılım sunar. Bazı istenmeyen programlar ayrıca yazılım paketlerinde de gelirler. Genellikle, bu programlar, yalnızca onları tasarlayan ve Firefox'a müdahale eden insanlara hizmet eden tarama davranışınız hakkında bilgi toplar. Mozilla "ın eklentisi web sitesinden eklentiler kurduğunuzdan ve yazılım sihirbazlarında istenmeyen programları kaldırdığınızdan emin olun. İstenmeyen eklentileriniz olup olmadığını kontrol edin ve bunları devre dışı bırakın veya çıkarın.
  • Yanıltıcı açılır pencerelerin içine girmeyin: Birçok kötü amaçlı web sitesi, görüntüleri açılır pencerelere benzeyerek veya bilgisayarınızı tarayan web sitesinin bir animasyonunu görüntüleyerek sisteminize kötü amaçlı yazılım yüklemeyi deneyin. Yanıltıcı bir açılır pencereyi tespit etme hakkında daha fazla bilgi için, bkz. Pop-up Engelleyici Ayarları, İstisnalar ve Sorun Giderme.
  • Sahte bir Firefox'u çalıştırmayın: Firefox'u Mozilla.org/Firefox'tan indirin.
  • Anti-virüs ve casus yazılım önleme gerçek zamanlı koruma ve sisteminizi periyodik olarak tarayın. Anti-virüsünüz ve casus yazılım önleme önleyici gerçek zamanlı koruma sağlayın. Bilgisayarınızı en az her ay tarayın.

Kötü amaçlı yazılımdan nasıl kurtulurum?

Wikipedia Makalesi Linux Kötü Amaçlı Yazılımın Bilgi ve Önerileri Var linux için Kullanıcılar.

Kötü amaçlı yazılımdan nasıl kurtulurum?

Microsoft temel. ÜCRETSİZ ANTİVİRÜS Ve casus yazılım önleyici güvenlik yazılımı windows 8 ve Windows 10'da yerleşikwindows 7 için (bkz. Microsoft Security Essentials Nedir?). Güvenlik yazılımınız kötü amaçlı yazılım algıladığında, sisteminizi aşağıda listelenen ücretsiz kötü amaçlı yazılım tarama programlarıyla tarayın. Her program farklı kötü amaçlı yazılımları algılar ve veritabanlarının en son sürümünü almak için her programı güncellediğinizden emin olmanız için tüm programlarla taramanız gerekir. Bir tarama yapmadan önce.

Uyarı: Anti-virüs ve casus yazılım önleme yazılımı bazen yanlış pozitifler üretebilir. Şüpheli dosyaların onları silmek yerine karantinaya çıkmayı düşünün.