Меню
безкоштовно
Реєстрація
Головна  /  Освіта / Що таке шкідливий код. Що таке шкідливий код Приклад сценарію атаки

Що таке шкідливий код. Що таке шкідливий код Приклад сценарію атаки

На сайті завівся вірус, і, як будь-який заражений об'єкт, ваш веб-ресурс перетворився в один великий джерело неприємностей: тепер він не тільки не приносить прибуток, але і порочить вашу репутацію в інтернеті, від вас відвертаються покупці, пошукові системи і навіть хостер.

Ви залишаєтеся один на один зі своєю проблемою і намагаєтеся вирішити її власними силами, Не звертаючись до професіоналів, зате дотримуючись порад «фахівців» з форумів. Або замовляєте лікування сайту там, де «дешевше». Що поробиш, адже завжди хочеться вирішити проблему якомога швидше і з найменшими витратами. Але чи завжди такий підхід виправданий?

Представляємо вашій увазі ТОП-7 помилок минулого року, які здійснювали веб-майстри, намагаючись відновити працездатність сайту після злому і зараження.

Помилка №1. Відновлення сайту з резервної копії як спосіб позбутися від шкідливого коду

Дуже часто проблему зараження сайту шкідливим кодом веб-майстри намагаються вирішити відкотом сайту до останньої чистої версії. І продовжують відновлювати веб-проект щораз, як тільки вірус на сайті знову дає про себе знати. На жаль, це незручний і дуже ризиковий варіант.

Правильне рішення: Сайт потрібно лікувати і ставити захист від злому, щоб уникнути повторного зараження. По-перше, контент сайту може оновлюватися, на сайт можуть встановлюватися нові плагіни, в скрипти сайту можуть вноситися зміни. Кожен відкат назад означає, що ви втрачаєте результати праць всіх останніх днів. Але є і більш важлива причина для кардинальної боротьби зі зломом: а що якщо хакер в один прекрасний день вирішить знищити ваш сайт повністю, адже у нього є доступ до вашого веб-ресурсу?

Помилка №2. Обман пошукача з метою виведення сайту з-під санкцій

Сайт потрапляє в список «загрожують безпеці комп'ютера або мобільного пристрою... »через вірус на сайті або редиректу відвідувачів на заражений ресурс. В панелі веб-майстра відображаються приклади заражених сторінок, але хитрий або неосвічений веб-майстер замість вирішення проблеми (пошуку і видалення джерела шкідливого коду) видаляє деякі сторінки, які показують пошуковики в прикладах зараження. Або, як варіант, цілком блокують доступ до сайту за допомогою правил в robots.txt, наївно вважаючи, що це заблокує і доступ антивірусного боту до сайту.

Правильне рішення: Потрібно знайти вірусний код на сайті і видалити його. Забороняти індексацію не тільки марно, але й небезпечно. По-перше, сторінки сайту можуть випасти з пошукового індексу. Ну, а, по-друге, робот антивірусного сервісу працює за правилами, відмінними від правил пошукового механізму, і заборона індексації на нього ніяк не впливає.

Помилка №3. Використання сканера шкідливого коду некомпетентними фахівцями

З метою економії або з якихось інших причин лікуванням сайту починає займатися недостатньо підготовлений фахівець, який не може на 100% визначити, чи є фрагмент, виділений сканером шкідливого коду, дійсно небезпечним. В результаті можна спостерігати дві крайності: видаляються абсолютно всі підозри на вірус, що призводить до поломки сайту, або шкідливий код усувається в повному обсязі, що провокує рецидив.

Правильне рішення: Очевидно, що лікуванням веб-ресурсу повинні займатися професіонали. У звіті сканерів шкідливого коду бувають помилкові спрацьовування, так як один і той же фрагмент може використовуватися як в легітимному коді, так і хакерському. Потрібно аналізувати кожен файл, інакше можна видалити критичні елементи, що може привести до збоїв в роботі сайту або його повної поломки. Або, навпаки, є ризик не розпізнати хакерський шелл, що призведе до повторного зараження веб-ресурсу.

Помилка №4. Ігнорування повідомлень (в панелі веб-майстра) про присутність шкідливого коду на сайті

Повідомлення про присутність шкідливого коду на сайті в панелі веб-майстра може бути непостійним. Сьогодні система пише, що на вашому сайті вірус, а завтра - мовчить. Власнику сайту приємніше думати, що в системі відбувся якийсь збій, і його сайт поза всякою підозрою. Однак на практиці все не так. Існують різні види заражень. Шкідливий код може з'являтися на сайті лише на якийсь час, а потім зникати. Це означає, що при черговій перевірці сайту ботом антивіруса пошукової системи шкідливий може бути виявлений, а при іншій - ні. В результаті веб-майстер «розслабляється» і починає ігнорувати небезпечну повідомлення: «Навіщо витрачати час на лікування, адже веб-сайт не заблокували».

Правильне рішення: Якщо на сайті помічена шкідлива активність, швидше за все ваш, веб-ресурс зламаний і заражений. Віруси на сайті не з'являються самі по собі. Те, що вчора пошуковик виявив підозрілий код на сайті, а потім «промовчав», не тільки не повинно ігноруватися веб-майстром, а, навпаки, повинно послужити сигналом до тривоги. Хто знає, яким чином ваш ресурс буде експлуатуватися завтра? - Спам, фішинг або редіректи. Потрібно відразу виконати сканування сайту на наявність хакерських бекдор, Шелл, пролікувати і захистити від злому.

Помилка №5. Лікування сайтів фрілансерами-непрофесіоналами.

В принципі, робота з фрілансерами в даному питанні нічим не відрізняється від інших сфер. Дешево - не завжди якісно, \u200b\u200bзате майже завжди без гарантій і договірних відносин. Більшість фрілансерів, які не спеціалізуються на проблемах безпеки сайтів, працюють з наслідками хакерської атаки, але не з причиною - уразливими сайту. А це означає, що сайт можуть зламати повторно. Гірше того, зустрічаються і недобросовісні виконавці, які можуть підсадити інший шкідливий код на сайт, вкрасти базу даних і т.п.

Правильне рішення: Зверніться в спеціалізовану компанію, яка займається лікуванням і захистом сайтів від злому. Співробітники таких компаній кожен день видаляють шкідливий код, бачать мутацію вірусів і стежать за еволюцією хакерських атак. Темний ринок зломів не стоїть на одному місці, він розвивається і вимагає постійного моніторингу і відповідних дій у відповідь при лікуванні і захисту сайту від несанкціонованих вторгнень.

Помилка №6. Щоденне / щотижневе видалення одного і того ж вірусу з сайту.

Ця проблема стосується особливих «ентузіастів», які готові на регулярній основі усувати наслідки злому. Такі веб-майстри вже знають, який саме код буде підсаджений на сайт, конкретно куди і коли це станеться. Так можна нескінченно боротися з мобільним перенаправленням, який щодня в 09-30 впроваджується зловмисником в файл.htaccess і перенаправляє ваш мобільний трафік на сайт з продажу віагри або порноконтента. Тільки от невдача: хакерський бот робить це в автоматичному режимі, А вам доводиться виконувати операцію з видалення вручну. Чи не чесно адже, правда?

Правильне рішення: Можна нескінченно видаляти наслідки (віруси, редіректи та ін.), Але ефективніше перевірити сайт на шкідливі і хакерські скрипти, видалити їх і встановити захист від злому, щоб більше вірусний код не з'являвся. А час, що звільнився витратити більш ефективно. Головне, пам'ятайте, що у хакера вже є доступ до вашого сайту, а це значить, що наступного разу він може не обмежитися знайомим вам шкідливим кодом, а використовувати ваш сайт для більш серйозних кібер-злочинів.

Помилка №7. Лікування завірусованного сайту антивірусом для комп'ютера

Поняття «антивірус» для деяких веб-майстрів універсально, і вони намагаються вилікувати зламаний і заражений сайт за допомогою антивірусу, призначеного для комп'ютера. Робиться бекап сайту і перевіряється деськтопной версією антивірусного програмного забезпечення. На жаль, але таке лікування не в змозі дати бажаних результатів.

Правильне рішення: Віруси на сайті і на комп'ютері - не одне і теж. Для перевірки сайту потрібно використовувати спеціалізоване ПО або звертатися до фахівців. Десктопні антивіруси, якими б хорошими вони не були, не призначені для лікування сайтів від вірусів, так як їх база даних орієнтована на віруси і «троянці» на комп'ютері.

На цьому все. Чи не наступайте на ті ж граблі!

Поширення шкідливого ПЗ через веб-сайти

Костін Раю, Лабораторія Касперського

Вступ. Кіберзлочинність: тенденції та розвиток

За останні кілька років інтернет став небезпечним місцем. Спочатку створений для порівняно невеликої кількості користувачів, він значно перевершив очікування своїх творців. Сьогодні в світі налічується більше 1,5 мільярда інтернет-користувачів і їх число постійно зростає в міру того, як технологія стає все більш доступною.

Злочинці теж помітили цю тенденцію і дуже швидко зрозуміли, що вчинення злочинів за допомогою інтернету (тепер це отримало назву кіберзлочини) має ряд істотних переваг.

По-перше, кіберзлочинність не пов'язана з великим ризиком: оскільки вона не має геополітичних бар'єрів, правоохоронним органам важко ловити злочинців. Більш того, проведення міжнародних розслідувань та ведення судових справ варто великих грошей, Тому такі дії, як правило, робляться тільки в особливих випадках. По-друге, кіберзлочинність - це просто: в інтернеті пропонується величезна кількість «Інструкцій» по злому комп'ютерів і написання вірусів, при цьому будь-яких спеціальних знань і досвіду не потрібно. Ось два основні чинники, які перетворили кіберзлочинність в індустрію, обороти якої обчислюються багатьма мільярдами доларів і яка є дійсно замкнуту екосистему.

І компанії, що займаються захистом інформації, і виробники програмного забезпечення ведуть постійну боротьбу з кіберзлочинністю. Їх мета - забезпечити інтернет-користувачам надійний захист і створити безпечне програмне забезпечення. Зловмисники в свою чергу постійно змінюють тактику для того, щоб протидіяти прийнятою контрзаходів, що в результаті призвело до появи двох виражених тенденцій.

По-перше, розміщення шкідливих програм відбувається з використанням zero-day вразливостей, тобто вразливостей, для яких ще не створені патчі. За допомогою таких вразливостей можуть бути заражені навіть такі комп'ютерні системи, На яких встановлені всі останні оновлення, Але при цьому немає спеціальних захисних рішень. Zero-day уразливості - цінний товар (їх використання потенційно може привести до серйозних наслідків), він продається на чорному ринку за десятки тисяч доларів.

По-друге, ми спостерігаємо різке збільшення кількості шкідливих програм, створених спеціально для крадіжки конфіденційної інформації з метою її подальшого продажу на чорному ринку: номерів кредитних карт, банківських реквізитів, паролів доступу на такі сайти, як eBay або PayPal, і навіть паролів до онлайн -Ігри, наприклад, до World of Warcraft.

Однією з очевидних причин такого розмаху кіберзлочинності є її прибутковість, яка завжди буде двигуном в створенні нових кіберзлочинних технологій.

Крім розробок, які проводяться для потреб кіберзлочинців, відзначимо ще одну тенденцію - поширення шкідливих програм через Всесвітню Павутину. Після епідемій початку нинішнього десятиліття, викликаних такими поштовими хробаками, як Melissa, багато компаній - виробники систем інформаційного захисту зосередили свої зусилля на розробці рішень, які могли б нейтралізувати шкідливі вкладення. Іноді це призводило до того, що в повідомленнях віддалялися всі виконувані вкладення.

Однак останнім часом основним джерелом поширення шкідливих програм стала Мережу. Шкідливі програми розміщують на веб-сайтах, а потім або користувачів обманним шляхом змушують вручну запускати їх, або ці програми за допомогою експлойтів автоматично виконуються на заражених комп'ютерах.

Ми в «Лабораторії Касперського» зі зростаючою тривогою спостерігаємо за тим, що відбувається.

Статистика

Протягом останніх трьох років ми спостерігали за так званими чистими веб-сайтами (від 100 000 до 300 000), щоб визначити, в який момент вони ставали точками поширення шкідливих програм. Кількість відслідковуються сайтів постійно зростала по мірі реєстрації нових доменів.

У таблиці наведено зареєстрований максимальний показник зараженості веб-сторінок, що відслідковуються протягом року. Очевидно різке збільшення частки заражених сайтів: якщо в 2006 році був заражений приблизно кожен сайт з двадцяти тисяч, то в 2009 році виявився зараженим вже кожен сайт зі ста п'ятдесяти. Відсоток заражених сайтів коливається в районі цієї останньої цифри, що може означати досягнення точки насичення: все веб-сайти, які могли бути інфіковані, були інфіковані. Проте їхня кількість зростає або знижується в міру виявлення нових вразливостей або появи нових інструментів, які дозволяють зловмисникам заражати нові веб-сайти.

У наступних двох таблицях наведені дані по шкідливим програмам, які найбільш часто зустрічалися на сайтах в 2008 і 2009 роках.

10 лідируючих шкідливих програм - 2008 рік

10 лідируючих шкідливих програм - 2009 рік

У 2008 році троянська програма Trojan-Clicker.JS.Agent.h була виявлена \u200b\u200bв великій кількості випадків. За нею з відривом менш 1% слід Trojan-Downloader.JS.Iframe.oj.

Сторінка, заражена Trojan-Clicker.JS.Agent.h

Розкодований троянець Trojan-Clicker.JS.Agent.h

Trojan-Clicker.JS.Agent.h - це типовий приклад механізму, який використовувався в 2008 році і все ще використовується (в 2009 році) для впровадження шкідливого коду. На сторінку додається невеликий фрагмент JavaScript коду, який зазвичай піддається обфускаціі для того, щоб ускладнити аналіз. У коді, наведеному на малюнку вище, обфускація просто складається в підміні ASCII-символів, що складають шкідливий код, їх hex-кодами. Після розшифровки код, як правило, являє собою плаваючий фрейм (iframe), провідний на сайт, на якому знаходяться експлойти. IP-адреса, на який веде посилання, може змінюватися, оскільки експлойти розміщуються на безлічі різних сайтів. на головній сторінці шкідливого сайту зазвичай знаходяться експлойти для IE, Firefox і Opera. Схожим чином діє і Trojan-Downloader.JS.Iframe.oj - друга за частотою використання шкідлива програма.

У 2009 році було два цікавих випадки, коли шкідливі програми поширювалися через веб-сторінки. У першому випадку мова йде про зловредів Net-Worm.JS.Aspxor.a, вперше виявленому в липні 2008 року і широко поширився в 2009 році. Цей зловредів за допомогою спеціальної утиліти знаходить SQL-уразливості на веб-сайтах, через які впроваджує шкідливі плаваючі фрейми.

Інший цікавий випадок являє собою шкідлива програма Gumblar. Вона була названа по імені китайського домену, який використовувала для поширення експлойтів. Рядок "gumblar" в піддалося обфускаціі коді JavaScript, «підкинутому» на веб-сайт, є вірною ознакою того, що сайт заражений.

Приклад впровадження коду Gumblar в сторінку веб-сайту

Після деобфускаціі шкідливий код Gumblar виглядає наступним чином:

Декодований код Gumblar

Домен "gumblar.cn" був закритий, що, втім, не завадило кіберзлочинцям продовжити шкідливі атаки з нових доменів.

Способи зараження і методи поширення

В даний час існує три основних способи зараження сайтів шкідливими програмами.

Перший популярний метод - використання вразливостей самого веб-сайту. Наприклад, впровадження SQL-коду, що дозволяє додати на сторінки сайту шкідливий код. Інструменти атаки, такі як троянець ASPXor, наочно демонструють механізм роботи цього методу: їх можна використовувати для масового сканування і впровадження шкідливого коду по тисячам IP-адрес одночасно. Сліди таких атак часто можна бачити в журналах доступу веб-серверів.

Другий метод передбачає зараження комп'ютера розробника веб-сайтів шкідливою програмою, яка відстежує створення і завантаження HTML-файлів, а потім впроваджує в ці файли шкідливий код.

Нарешті, ще один метод - це зараження троянцем, які крадуть паролі (таким як Ransom.Win32.Agent.ey) комп'ютера розробника веб-сайтів або іншої людини з доступом до облікового запису хостингу. Такий троянець зазвичай звертається до сервера по HTTP, щоб передати паролі до облікових записів FTP, які він збирає з популярних ftp-клієнтів, таких як FileZilla і CuteFtp. Компонент шкідливої \u200b\u200bпрограми, що знаходиться на сервері, записує отриману інформацію в базу даних SQL. потім спеціальна програма, Також знаходиться на сервері, виконує процедуру входу в усі облікові записи FTP, витягує контрольним аркушем, додає туди код, заражений троянцем, і завантажує сторінку назад.

Оскільки в останньому випадку дані облікового запису у хостинг-провайдера стають відомі зловмисникам, то часто відбуваються повторні зараження сайтів: розробники веб-сторінок помічають зараження самі або дізнаються про нього від відвідувачів сайту, очищають сторінку від шкідливого коду, а на наступний день сторінка знову виявляється зараженої.

Приклад повторного зараження веб-сторінки (*. *. 148.240)

Інша часто зустрічається ситуація - коли інформація про одну й ту ж уразливості або дані облікового запису на хостингу одночасно потрапляють в руки різних кібергруппіровок, між якими починається боротьба: кожна група прагне заразити веб-сайт своєї шкідливою програмою. Ось приклад такої ситуації:

Приклад багаторазового зараження веб-сайту (*. *. 176.6) різними шкідливими програмами

11.06.2009 веб-сайт, за яким ми спостерігали, був чистий. 05.07.2009 відбувається зараження шкідливою програмою Trojan-Clicker.JS.Agent.gk. 15.07.2009 веб-сайт виявляється зараженим іншим зловредів, Trojan-Downloader.JS.Iframe.bin. Через десять днів, сайт заражений ще однією програмою.

Така ситуація зустрічається досить часто: веб-сайти можуть бути заражені одночасно різними шкідливими програмами, код яких розміщується один за іншим. Таке відбувається, коли дані доступу потрапляють в руки різних кібергруппіровок.

Нижче наводиться послідовність дій, які необхідно здійснити в разі, якщо веб-сайт заражений шкідливим кодом:

  • Встановити, хто має доступ на хостинг-сервер. Запустити перевірку їх комп'ютерів програмою інтернет-безпеки з актуальною базою даних. Видалити всі виявлені шкідливі програми
  • Встановити новий надійний хостинг-пароль. надійний пароль повинен складатися з символів, цифр і спецсимволов, щоб ускладнити його підбір
  • Замінити всі заражені файли чистими копіями
  • Знайти всі резервні копії, які можуть містити заражені файли, і вилікувати їх

Наш досвід показує, що заражені веб-сайти після лікування нерідко піддаються повторному зараженню. З іншого боку, зазвичай це відбувається лише один раз: якщо після першого зараження веб-майстер може обмежитися відносно поверхневими діями, в разі повторного зараження він зазвичай приймає більш серйозні заходи по забезпеченню безпеки сайту.

Еволюція: розміщення шкідливих програм на «чистих» веб-сайтах

Пару років тому, коли кіберзлочинці стали активно використовувати web для розміщення шкідливих програм, вони як правило діяли через так званий абузоустойчівий хостинг або через хостинг, де вони розплачувалися краденими кредитними картами. Помітивши цю тенденцію, компанії, що працюють в області інтернет-безпеки, об'єднали свої зусилля в боротьбі проти недобросовісних хостинг-провайдерів, що допускають розміщення шкідливих ресурсів (таких, як американський хостинг-провайдер McColo і естонський провайдер EstDomains. І хоча сьогодні ще зустрічаються випадки, коли шкідливі програми розміщуються саме на шкідливих сайтах, розташованих, наприклад, в Китаї, де закрити сайт як і раніше складно, стався важливий поворот в сторону розміщення шкідливих програм на «чистих» і цілком заслуговують на довіру доменах.

Дія і протидія

Як ми вже говорили, одним з найважливіших аспектів постійної боротьби між кіберзлочинцями і виробниками антивірусних рішень є вміння швидко реагувати на те, що робить противник. Обидві сторони постійно змінюють тактику боротьби і вводять в дію нові технології, намагаючись протидіяти противнику.

Більшість веб-браузерів (Firefox 3.5, Chrome 2.0 і Internet Explorer 8.0) тепер мають вбудований захист у вигляді URL-фільтра. Цей фільтр не дозволяє користувачеві заходити на шкідливі сайти, що містять експлойти для відомих або невідомих вразливостей, а також використовують методи соціальної інженерії для крадіжки особистих даних.

Наприклад, Firefox і Chrome використовують Google Safe Browsing API, безкоштовний сервіс від Google для фільтрації URL-адрес. У момент написання список Google Safe Browsing API містив близько 300 000 адрес відомих шкідливих веб-сайтів і понад 20 000 адрес веб-сайтів, які займаються фішингом.

Google Safe Browsing API дотримується раціонального підходу до фільтрації URL-адрес: замість того щоб посилати кожен URL-адресу на зовнішній ресурс для перевірки, як це робить фішинг-фільтр в Internet Explorer 8, Google Safe Browsing перевіряє URL-адреси по їх контрольних сумах, обчисленим за алгоритмом MD5. Щоб такий метод фільтрації був ефективним, список контрольних сум шкідливих адрес повинен регулярно оновлюватися; поновлення рекомендується виконувати кожні 30 хвилин. Недолік цього методу полягає в наступному: кількість шкідливих веб-сайтів більше, ніж кількість входів в списку. Для оптимізації розміру списку (зараз він становить близько 12 МБ), туди потрапляють тільки найбільш часто зустрічаються шкідливі сайти. Це означає, що навіть якщо ви використовуєте програми, що підтримують подібні технології, ваш комп'ютер як і раніше піддається ризику зараження при відвідуванні шкідливих сайтів, що не потрапили в список. У загальному і цілому широке застосування технологій для безпечної навігації показує, що розробники веб-браузерів звернули увагу на нову тенденцію поширення шкідливих програм через веб-сайти і роблять відповідні дії. По суті, веб-браузери з вбудованим захистом вже стають нормою.

висновок

За останні три роки різко збільшилася кількість легітимних веб-сайтів, заражених шкідливими програмами. Сьогодні кількість заражених сайтів в інтернеті в сто разів більше, ніж три роки тому. Часто відвідувані сайти привабливі для кіберзлочинців, оскільки з їх допомогою за короткий час можна заразити велику кількість комп'ютерів.

Веб-майстрам можна запропонувати кілька простих порад з приводу того, як убезпечити веб-сайти:

  • Захищайте облікові записи хостингу надійними паролями
  • Для завантаження файлів на сервери використовуйте протоколи SCP / SSH / SFTP замість FTP - таким чином ви захиститеся від пересилання паролів по інтернету відкритим текстом
  • Встановіть антивірусний продукт і запустіть перевірку комп'ютера
  • Майте в запасі кілька резервних копій сайту, щоб мати можливість відновити його в разі зараження.

При навігації в інтернеті є кілька факторів, що збільшують ризик зараження шкідливим кодом з веб-сайту: використання піратського ПЗ, ігнорування оновлень, що закривають уразливості в використовуваному ПО, відсутність на комп'ютері антивірусного рішення і загальне незнання або неповне розуміння загроз в інтернеті.

Піратські програми відіграють значну роль в поширенні шкідливих програм. піратські копії Microsoft Windows, Як правило, не підтримують автоматичні оновлення, Що випускаються компанією Microsoft, що дає кіберзлочинцям можливість експлуатувати незакриті уразливості в цих продуктах.

Крім того, старі версії Internet Explorer, як і раніше самого популярного браузера, мають велику кількість вразливостей. У більшості випадків Internet Explorer 6.0 без встановлених оновлень незахищений від шкідливого впливу будь-якого шкідливого веб-сайту. В силу цього, вкрай важливо уникати використання піратського ПЗ, особливо піратських копій Windows.

Ще один фактор ризику - робота на комп'ютері без встановленої антивірусної програми. Навіть якщо в самій системі встановлені останні оновлення, в неї може проникнути шкідливий код через zero-day уразливості в сторонньому ПО. оновлення антивірусних програм зазвичай випускаються набагато частіше, ніж патчі до програмним продуктам, І забезпечують безпеку системи в період, коли до уязвимостям в сторонньому ПО ще не випущені виправлення.

І хоча для підтримки необхідного рівня безпеки важлива установка оновлень для програм, важливу роль відіграє і людський фактор. Наприклад, користувач може захотіти подивитися «цікавий відеоролик», завантажений з Мережі, не підозрюючи, що замість ролика йому підкинули шкідливу програму. Така прийом нерідко використовується на шкідливих сайтах в разі, якщо експлойтів не вдається проникнути в операційну систему. Цей приклад показує, чому користувачі повинні знати, яку небезпеку представляють інтернет-загрози, особливо ті, які пов'язані з соціальними мережами (Web 2.0), останнім часом активно Атакуються кіберзлочинцями.

  • Не завантажуйте піратські програми
  • Вчасно оновлюйте все ПО: операційну систему, веб-браузери, програми для перегляду PDF-файлів, плеєри і т.д.
  • Встановіть і завжди використовуйте антивірусний продукт, такий як Kaspersky Internet Security 2010
  • Візьміть за правило, щоб ваші співробітники щомісяця приділяли кілька годин вивченню веб-сайтів, присвячених безпеки, таких як www.viruslist.com, де вони зможуть дізнатися про інтернет-загрози і методи захисту.

Нарешті, пам'ятайте: попередити зараження легше, ніж вилікувати. Вживайте заходів безпеки!

В даний час більшість комп'ютерних атак відбувається при відвідуванні шкідливих веб-сторінок. Користувач може бути введений в оману, надаючи конфіденційні дані фішинг-сайту або стати жертвою атаки drive-by download, що використовує браузерні вразливості. Таким чином, сучасний антивірус повинен забезпечувати захист не тільки безпосередньо від шкідливого ПО, а й від небезпечних веб-ресурсів.

Антивірусні рішення використовують різні методи для виявлення сайтів з шкідливим ПЗ: порівняння бази даних сигнатур і евристичний аналіз. Сигнатури використовуються для точного визначення відомих загроз, в той час як евристичний аналіз визначає ймовірність небезпечної поведінки. Використання бази вірусів є більш надійним методом, що забезпечує мінімальну кількість помилкових спрацьовувань. Однак даний метод не дозволяє виявляти невідомі новітні загрози.

Розгромна замовна стаття загроза спочатку повинна бути виявлена \u200b\u200bі проаналізована співробітниками лабораторії антивірусного вендора. На підставі аналізу створюється відповідна сигнатура, яка може бути використана для знаходження шкідливого ПЗ. Навпаки, евристичний метод застосовується для виявлення невідомих загроз на підставі підозрілих поведінкових факторів. даний спосіб оцінює ймовірність небезпеки, тому можливі помилкові спрацьовування.

При виявленні шкідливих посилань обидва методи можуть працювати одночасно. Щоб додати небезпечний ресурс в список заборонених сайтів (blacklist) необхідно провести аналіз, завантаживши вміст і просканувавши його за допомогою антивірусу або системи виявлення вторгнень (Intrusion Detection System).

Нижче представлений лог подій системи Suricata IDS при блокуванні експлойтів:

Приклад звіту системи IDS із зазначенням загроз, визначених за допомогою сигнатур:

Приклад попередження антивіруса Ad-Aware при відвідуванні шкідливого сайту:

Евристичний аналіз виконується на стороні клієнта для перевірки відвідуваних сайтів. Спеціально розроблені алгоритми попереджають користувача в разі, якщо відвідуваний ресурс відповідає небезпечним або підозрілим характеристикам. Дані алгоритми можуть бути побудовані на лексичному аналізі контенту або на оцінки розташування ресурсу. Лексична модель визначення використовується для попередження користувача при фішинг-атаки. Наприклад URL адреса виду " http://paaypall.5gbfree.com/index.php"Або" http://paypal-intern.de/secure/"Легко визначаються як фішинг-копії відомої платіжної системи "Paypal".

Аналіз розміщення ресурсу збирає інформацію про хостинг і про доменне ім'я. На підставі отриманих даних спеціалізований алгоритм визначає ступінь небезпеки сайту. Ці дані зазвичай включають географічні дані, інформацію про реєстратора та про особу, що зареєстрував домен.

Нижче представлений приклад розміщення декількох фішинг-сайтів за однією IP-адресу:

В кінцевому рахунку, не дивлячись на безліч способів оцінки сайтів, ні вона методика не може дати 100% -ної гарантії захисту Вашої системи. Тільки спільне використання декількох технології комп'ютерної безпеки дозволяє дати певну впевненість в захист персональних даних.

  • користувачі скаржаться на те, що веб-сайт блокується браузером і / або програмами
  • веб-сайт внесений до чорного списку Google або в іншу базу шкідливих URL-адрес
  • відбулися серйозні зміни в обсязі трафіку і / або в рейтингах пошукових систем
  • веб-сайт не працює як слід, видає помилки і попередження
  • після відвідування веб-сайту комп'ютер поводиться дивно.

Найчастіше шкідливий код залишається непоміченим протягом довгого часу, особливо в разі зараження дуже складними зловредів. Таке шкідливе ПЗ зазвичай сильно обфусціровано, щоб ввести в оману і адміністраторів веб-сайтів, і антивірусні програми; воно весь час змінює доменні імена, на які перенаправляє користувачів, обходячи таким чином чорні списки. Якщо немає жодного з наведених симптомів, це хороший показник чистоти вашого сервера, хоча, на жаль, не 100% -ний; тому, залишайтеся пильними до будь-яку підозрілу активність.

Найочевиднішим ознакою зараження будь-яким шкідливим ПЗ є присутність шкідливого / підозрілого коду в одному або декількох файлах - переважно в форматі HTML, PHP або JS, а з деяких пір і ASP / ASPX. Цей код знайти нелегко, потрібно володіння щонайменше основами програмування та розробки веб-сайтів. Для того щоб читач краще зрозумів, як виглядає шкідливий код, ми наводимо кілька прикладів самого звичайного зараження веб-сторінок.

Приклад 1: проста переадресація

Найстарішим і найпростішим методом, використовуваним кіберзлочинцями, є додавання простого HTML iframe-тега в код HTML-файлів на сервері. Адреса Інтернет для завантаження шкідливого веб-сайту в IFrame, вказаний як атрибуту SRC; атрибут VISIBILITY зі значенням "hidden" робить фрейм невидимим для користувача, який відвідує веб-сайт.

Малюнок 1: Шкідливий IFrame всередині HTML-коду веб-сайту

Інший метод виконання шкідливого скрипта в браузері користувача - це впровадження посилання на цей скрипт в HTML-файл в якості атрибута src в тегах script або img:

Малюнок 2: Приклади шкідливих посилань

Останнім часом все частіше зустрічаються випадки, коли шкідливий код динамічно генерується і впроваджується в HTML-код шкідливими JS- або PHP-скриптами. У таких випадках код бачимо тільки в поданні вихідного коду сторінки з браузера, але не в фізичних файлах на сервері. Кіберзлочинці можуть додатково визначати умови, коли шкідливий код повинен генеруватися: наприклад, тільки коли користувач перейшов на сайт з певних пошукових систем або відкрив веб-сайт в конкретному браузері.

Щоб обдурити і власника веб-сайту, і антивірусне ПЗ, а також ускладнити шкідливого коду, кіберзлочинці використовують різноманітні методи обфускаціі коду.

Приклад 2: «Помилка 404: сторінку не знайдено»

У цьому прикладі шкідливий код впроваджується в шаблон повідомлення, яке виводиться, коли зазначений об'єкт не був знайдений на сервері (всім відома «помилка 404»). Крім того, в файли index.html / index.php впроваджується посилання на який-небудь неіснуючий елемент, щоб непомітно викликати цю помилку при кожному відвідуванні користувачем зараженої веб-сторінки. Цей метод може спровокувати деяку плутанину: людина, відповідальний за веб-сайт, отримує повідомлення, що якесь антивірусне рішення посліду веб-сайт як заражений; після поверхневої перевірки виявляється, що шкідливий код був знайдений в об'єкті, якого по всій видимості не існує; це призводить до спокуси припустити (помилково), що це була помилкова тривога.

Малюнок 3. Trojan.JS.Iframe.zs - шкідливий скрипт в шаблоні повідомлення про помилку 404

У цьому конкретному випадку шкідливий код був обфусцірован. Після деобфускаціі можемо бачити, що метою скрипта є впровадження тега IFRAME, який буде використаний для перенаправлення користувачів на шкідливий URL-адресу.

Малюнок 4. Trojan.JS.Iframe.zs - шкідливий код після деобфускаціі

Приклад 3: вибіркове впровадження шкідливого коду

Аналогічний код може генеруватися і приєднуватися динамічно (тобто в залежності від конкретних умов) до всіх HTML-файлів, розташованих на сервері, використовуючи шкідливий PHP-скрипт, завантажений на той же сервер. Скрипт, показаний в наступному прикладі, перевіряє параметр UserAgent (який відсилається браузером користувача, а також пошуковими ботами) і не приєднав шкідливий код, якщо веб-сайт сканується ботом або якщо відвідувачі сайту користуються браузерами Opera, Або Safari. Таким чином, користувачі браузерів, невразливих до конкретного експлойтів, використовуваному для атаки, які не будуть перенаправлятися на цей експлойт. Також варто зауважити, що коментарі в коді навмисно вводять в оману, наводячи на думку про те, що даний скрипт має якесь відношення до статистики бота.

Малюнок 5. Trojan.PHP.Iframer.e - код, що заражає PHP-скрипт

Цей метод може також використовуватися в зворотному напрямку: кіберзлочинці можуть впроваджувати посилання, що ведуть до нелегального, сумнівному або шкідливому контенту (спаму, шпигунського ПЗ, ПЗ, фішингових ресурсів) тільки якщо на веб-сайт зайшов пошуковий бот. Метою такої атаки є так звана чорна оптимізація - механізм підняття позиції кіберкрімінального ресурсу в пошуковій видачі. Таке шкідливе ПЗ зазвичай направлено на популярні веб-портали з високим рейтингом, і його досить складно виявити, оскільки шкідливий код ніколи не показується звичайному користувачеві. В результаті шкідливі веб-сайти отримують високий рейтинг в пошукових системах і виявляються у верхніх рядках пошукової видачі.

Приклад 4: хитра обфускація

Заражають PHP-скрипти можуть також приймати інші форми. Нижче даються два приклади, виявлені кілька місяців тому.


Малюнок 6. Trojan-Downloader.PHP.KScript.a -заражающій PHP-скрипт


Рис 12. Trojan-Downloader.JS.Twetti.t - шкідливий код, що впроваджується в JS-файли

Нарешті, відомий випадок масового зараження зловредів, при якому використовуються випадкові доменні імена. У разі зараження цим зловредів ви можете виявити на своєму веб-сайті наступний код:

Рис 13. Обфусцірованная версія коду, який перенаправляє на згенерований випадковим чином домен

Приклад 6: «gootkit» і обфускація файлу цілком

Обфусцірованний шкідливий код легко виявити серед решти чистого коду, і тому недавно кіберзлочинцям в голову прийшла ідея обфусціровать вміст файлу цілком, роблячи таким чином нечитабельним як впроваджений, так і легітимний код. Відокремити легітимний код від шкідливого неможливо, і вилікувати файл можна тільки після його дешифрування.

Мал. 14. Файл, обфусцірованний зловредів "gootkit"

Позбутися від першого рівня обфускаціі нескладно, для цього потрібно просто поміняти функцію eval () на alert () - або print () у випадку з консоллю - і запустити її на виконання. Другий рівень трохи складніше: в даному випадку доменне ім'я використовується в якості ключа для шифрування коду.

Мал. 15: «gootkit» - другий рівень обфускаціі

Після дешифрування можна бачити шкідливий код, що йде за оригінальним вмістом файла:

Мал. 16: «gootkit» - деобфусцірованний код

Іноді шкідлива частина виявляється другою версією шкідливих програм, про які йшла мова в попередньому прикладі, і використовується для генерації псевдовипадкового доменного імені для переадресації.

Приклад 7: .htaccess

Замість зараження скриптів і HTML-коду кіберзлочинці можуть використовувати можливості деяких файлів, напрімер.htaccess. У таких файлах адміністратор може визначати права доступу до певних папок на сервері, а також за певних обставин перенаправляти користувачів на інші URL-адреси (наприклад, в разі якщо користувач заходить з браузера мобільного пристрою, він перенаправляється на мобільну версію веб-сайту). Неважко здогадатися, яким чином кіберзлочинці використовують подібний функціонал ...

Мал. 17: вредоносний.htaccess

У наведеному вище прикладі всі користувачі, які опинилися на цьому веб-сайті, пройшовши за посиланням в більшості великих пошукових систем (параметр HTTP_REFERER), перенаправляються на шкідливу URL-посилання. Крім цього, в цьому файле.htaccess визначено досить велика кількість браузерів і пошукових роботів, для яких перенаправлення не проводиться (параметр HTTP_USER_AGENT). Перенаправлення не відбувається також у разі, якщо веб-сторінка читається з кеша (referer \u003d\u003d cache) або завантажується повторно з того ж комп'ютера (параметр cookie).

Подібні зловредів дозволяють проводити і більш виборчі зараження - наприклад, можуть бути виключені конкретні IP-адреси, і при перегляді веб-сайтів з певного діапазону IP-адрес - наприклад, належать компанії по інформаційної безпеки - видача шкідливих наслідків відсутня.

Вектори атак і технології зараження

Незалежно від використовуваних технологій, кіберзлочинцям необхідно знайти спосіб доставки шкідливих файлів на сервер або модифікації файлів, вже існуючих на сервері. Найбільш примітивним методом отримання доступу до сервера є злом пароля доступу. Для цього кіберзлочинці можуть використовувати так звану атаку методом перебору або її обмежену версію - атаку «перебору по» (словникову атаку). Така тактика зазвичай вимагає великої кількості часу і ресурсів, тому рідко використовується при масових заражених веб-сайтів. Серед більш популярних сценаріїв - експлуатація вразливостей і шкідливе ПО для крадіжки паролів.

Використання вразливостей системи управління контентом / системи електронної комерції

Більшість сучасних платформ управління веб-контентом (такі як система управління контентом (CMS), електронна комерція, панелі управління і т.д.) неідеальні і мають уразливості, що дозволяють іншим особам без аутентифікації завантажувати файли на сервер. І хоча пошук таких вразливостей розробники ведуть постійно, випуск патчів займає велику кількість часу; крім цього, багато користувачів продовжують використовувати старі версії програм з великою кількістю помилок. Найчастіше уразливості знаходять, природно, в самих популярних платформах, таких як WordPress, Joomla і osCommerce.

Відомий приклад такої вразливості - TimThumb, яка широко використовувалася кіберзлочинцями в різноманітних сценаріях drive-by завантаження. TimThumb - PHP-модуль для зміни розміру зображень і створення так званих графічних мініатюр, включений до більшості CMS-шаблонів, що знаходяться у відкритому доступі. Уразливість дозволяє записувати файли, що знаходяться на віддаленій машині, на сервер, в директорію для кеша. Ще один приклад - вразливість SQL injection в Plesk Panel (версії 10 і старше), виявлена \u200b\u200bв лютому 2012 року, що дозволяє читати бази даних і красти паролі, які - до недавнього часу - зберігалися в явному вигляді. Отримані таким чином реєстраційні дані, ймовірно, використовувалися при недавньої масової веб-епідемії http://www.securelist.com/en/blog/208193624/Who_is_attacking_me; https://www.securelist.com/ru/blog/208193713/RunForestRun_gootkit_i_generirovanie_sluchaynykh_domennykh_imen.

Використання шпигунського ПЗ для крадіжки облікових даних для доступу до сервера по FTP

У найбільш поширених веб-заражених (наприклад, Gumblar і Pegel) успішним виявився інший метод. На першому етапі кіберзлочинці поширюють шкідливі програми, розроблені спеціально для пошуку та крадіжки імен користувачів і паролів до FTP-акаунтів за допомогою перевірки налаштувань FTP-клієнтів або сканування мережевого трафіку. Після знаходження зловредів цих реєстраційних даних на зараженому комп'ютері адміністратора сайту програма встановлює з'єднання з FTP-сервером і завантажує шкідливі скрипти або записує замість оригінальних файлів їх заражені версії. Само собою зрозуміло, що до тих пір поки комп'ютер власника аккаунта заражений, файли, що зберігаються на сервері, будуть знову і знову заражатися навіть після зміни реєстраційних даних і відновлення всього контенту з чистою резервної копії.

цілі кіберзлочинців

Яка мета зараження веб-сайтів?

  • переадресація користувачів на експлойти для непомітною установки шкідливих програм на їх комп'ютерах;
  • переадресація користувачів на спам, фішингових і інший шкідливий, нелегальний або небажаний контент;
  • перехоплення / крадіжка відвідувань сайту / пошукових запитів.
  • просування шкідливих / нелегальних веб-сайтів і веб-сайтів, що містять спам (чорна оптимізація);
  • використання ресурсів сервера для нелегальної активності.

По суті тут немає нічого нового: при зараженні веб-сайтів кіберзлочинцями рухає прагнення отримати непряму прибуток.

Методи усунення шкідливого коду

Що робити, якщо ваш сайт атакували хакери?

По-перше, якщо ви спостерігаєте симптоми, які говорять про можливе зараження, необхідно негайно деактивувати веб-сайт до усунення проблеми. Це дійсно дуже важливо, оскільки кожен момент зволікання грає на руку кіберзлочинцям, дозволяючи заразити ще більше комп'ютерів і поширити зараження по всьому. Слід перевірити журнали сервера на наявність підозрілої активності, наприклад дивні запити з IP-адрес, які перебувають в країнах, нехарактерних для відвідувачів сайту, і т.п. - це може бути корисно для виявлення заражених файлів і визначення, як саме кіберзлочинці отримали доступ до сервера.

Але яким же чином боротися з шкідливим кодом?

Резервна копія

Найшвидший і надійний спосіб відновлення всього вмісту сервера - з використанням чистої резервної копії. Щоб зробити це ефективно, необхідно також провести повну переустановку ПЗ, що працює на сервері (системи управління контентом / CMF, системи електронної комерції і т.п.). Зрозуміло, для цього необхідно використовувати найостанніші, повністю оновлені версії. Після цих дій на сервері не повинно залишитися ніяких заражених файлів - за умови, що ви стерли весь вміст перед відновленням, а резервна копія була створена ще до початку атаки.

автоматична перевірка

Якщо чиста резервна копія відсутній, вам нічого не залишається як почати боротися з шкідливим ПЗ. На щастя, існує ряд автоматизованих рішень, які допоможуть відшукати шкідливий код - включаючи антивірусні продукти і онлайн-сканери веб-сайтів, наприклад http://sucuri.net/. Жодне з них не є ідеальним, але у випадку з добре відомим / звичайним шкідливим ПЗ все вони можуть бути дуже корисними. Почнемо з того, що можна перевірити веб-сайт за допомогою декількох онлайн-сканерів. Деякі з них не тільки визначать, чи дійсно ваш сайт заражений, але і вкажуть на шкідливий код в ваших файлах. Потім можна провести повну антивірусну перевірку всіх файлів на сервері.

Якщо ви власник сервера або якщо на сервері працює захисне рішення, На використання якого у вас є права, ви можете виконати перевірку на стороні сервера. Переконайтеся в тому, що ви створили копію ваших файлів, так як деякі антивірусні сканери не лікують заражені файли, а видаляють їх! Можна також завантажити вміст вашого сервера на локальний комп'ютер і здійснити його перевірку за допомогою антивірусного рішення для стаціонарного комп'ютера. Другий варіант краще, оскільки в складі більшості сучасних антивірусних програм для стаціонарних комп'ютерів є добре розвинений евристичний модуль. Шкідливі програми, що вражають веб-сайти, надзвичайно поліморфні: і якщо при боротьбі з ним сигнатурний аналіз практично не потрібен, евристика дозволяє їх з легкістю детектувати.

видалення вручну

якщо автоматична перевірка не дала результатів і повідомлення про зараження вашого сайту надходять як і раніше, єдиний спосіб позбутися від зловредів - знайти його вручну і видалити весь шкідливий код. Це непросте завдання може зайняти значну кількість часу, оскільки необхідно перевірити кожен файл - будь то HTML, JS, PHP або файл конфігурації - на наявність шкідливих скриптів. Приклади, наведені вище, - всього лише невелика частина різноманітних зловредів для веб-сайтів, тому висока ймовірність того, що шкідливий код на вашому сайті буде частково або повністю відрізнятися від цих зразків. І тим не менше більшість сучасних шкідливих програм для веб-сайтів мають деякі спільні риси, і ці риси допоможуть у визначенні проблеми.

Більш за все необхідно приділити увагу тим частинам коду, які виглядають неясними або нечитабельним. Обфускація коду - технологія, часто використовувана, - досить незвичайна для будь-якого іншого ПО, пов'язаного з веб-сайтами. Якщо ви не обфусціровалі код самі, у вас є всі підстави мати щодо нього підозри. Але будьте обережні - шкідливим виявиться не весь обфусцірованний код!

Аналогічним чином, не будь-який шкідливий скрипт обфусцірован, тому має сенс шукати теги IFRAME в явному вигляді і інші посилання на зовнішні ресурси у всіх ваших файлах. Деякі з них можуть мати відношення до рекламним оголошенням і статистиці, але не попадіться на вудку спеціально сформованих URL, які можуть збивати з пантелику, маючи вигляд адрес відомих і довірених порталів. Не забувайте перевіряти код шаблонних повідомлень про помилки, а також всі файли.htaccess.

Корисними інструментами для пошуку шкідливого коду на сервері, безсумнівно, є grep і find - утиліти, що працюють в режимі командного рядка, за замовчуванням включаються практично в усі системи на основі Unix. Нижче наведені приклади їх використання в діагностиці найбільш поширених заражень:

grep -iRs "iframe" *
grep -iRs "eval" *
grep -iRs "unescape" *
grep -iRs "base64_decode" *
grep -iRs "var div_colors" *
grep -iRs "var _0x" *
grep -iRs "CoreLibrariesHandler" *
grep -iRs "pingnow" *
grep -iRs "serchbot" *
grep -iRs "km0ae9gr6m" *
grep -iRs "c3284d" *
find. -iname "upd.php"
find. -iname "* timthumb *"

Опис grep (з керівництва Linux): друк рядків, відповідних шаблоном; опція -i означає ігнорувати регістр; -R означає рекурсивний пошук, а -s запобігає показ повідомлень про помилки. Перша з перерахованих команд шукає в файлах теги IFRAME; три інші шукають найбільш явні ознаки обфускаціі; інші шукають особливі рядки, пов'язані з найбільшими відомими зараженнями веб-сайтів.

Що стосується find, в керівництві Linux зазначено: пошук файлів в ієрархічній структурі папок; «.» (Точка) вказує на поточну директорію (так що запускати дані команди випливає з кореневої директорії або домашнього (home) каталогу на сервері), параметр -iname визначає файл, який слід шукати. Можно використовувати регулярні вирази для пошуку всіх файлів, відповідних певним критеріям.

Зрозуміло, завжди потрібно знати, що саме шукати - не всі результати будуть вказувати на зараження. Непогано перевірити підозрілі частини коду антивірусним сканером або спробувати пошукати їх в google. Дуже ймовірно, що ви знайдете деякі відповіді - як для шкідливого, так і для чистого коду. Якщо ви як і раніше не впевнені, чи заражений файл, найкраще деактивувати веб-сайт (на всякий випадок) і до прийняття будь-яких дій звернутися за порадою до фахівця.

Дуже важливо!

Крім очищення файлів на сервері необхідно обов'язково провести повну антивірусну перевірку всіх комп'ютерів, що використовуються для завантаження і управління контентом на сервері і змінити всі дані для доступу до всіх акаунтів на сервері (FTP, SSH, панелі управління і т.д.), які ви підтримуєте .

Основи безпеки для веб-сайтів

На жаль, в більшості випадків видалення шкідливого коду недостатньо для того, щоб позбутися від зараження раз і назавжди. Якщо ваш веб-сайт заражений, можливо, це говорить про існування вразливостей, які дозволили кіберзлочинцям впровадити шкідливі скрипти на сервер; і якщо ви залишите без уваги цю проблему, в найближчому майбутньому вас чекають нові зараження. Щоб цьому запобігти, необхідно вжити відповідних заходів для захисту сервера і комп'ютера / комп'ютерів, що використовуються для адміністрування сервера.

  • Використання стійких паролів. Незважаючи на тривіальність цієї ради, це дійсно основа безпеки сервера. Необхідно не тільки міняти паролі після кожного інциденту і / або атаки на сервер - вони повинні змінюватися на регулярній основі, наприклад щомісяця. хороший пароль повинен відповідати особливим критеріям, про які можна дізнатися на www.kaspersky.com/passwords;
  • Регулярне оновлення. Необхідно також не забувати про регулярні оновлення. Кіберзлочинці часто експлуатують уразливості в ПЗ незалежно від мети шкідливої \u200b\u200bпрограми - чи спрямована вона на користувачів ПК або на веб-сайти. Всі програми, за допомогою яких ви керуєте вашим сервером / контентом сайту, повинні бути найбільш останніх версій, А кожне оновлення безпеки має встановлюватися одразу ж по його виході. Використання актуальних версій ПО і своєчасна установка всіх необхідних патчів допоможе знизити ризик атаки з використанням експлойтів. Регулярно оновлюваний список відомих вразливостей можна знайти на сайті http://cve.mitre.org/;
  • Регулярне створення резервних копій. Маючи в запасі чисту копію серверного контенту, ви заощадите масу часу і зусиль, не кажучи про те, що свіжі резервні копії можуть, крім лікування зараження, виявитися дуже корисні і в рішенні інших проблем;
  • Регулярна перевірка файлів. Навіть при відсутності явних симптомів зараження рекомендується періодичне сканування всіх файлів на сервері на предмет виявлення шкідливого коду;
  • Забезпечення безпеки ПК. Оскільки значна кількість шкідливого ПЗ для веб-сайтів поширюється через заражені ПК, безпеку стаціонарного комп'ютера, використовуваного для управління вашим веб-сайтом, є одним із пріоритетних аспектів безпеки веб-сайту. Безперервна підтримка чистоти і безпеки вашого комп'ютера істотно збільшує ймовірність того, що ваш веб-сайт також буде в безпеці і захищений від вірусів.
  • Обов'язковими (але не достатніми) повинні бути наступні дії:
    • видалення невикористовуваних програм;
    • деактивация непотрібних сервісів і модулів;
    • настройка відповідних політик для окремих користувачів і груп користувачів;
    • установка адекватних прав доступу до певних файлів і тек;
    • відключення показу файлів і каталогів веб-сервера;
    • ведення журналів подій, регулярно перевіряються на наявність підозрілої активності;
    • використання шифрування і безпечних протоколів.

Шкідливе ПО, призначене для зараження веб-сайтів, може стати справжнім кошмаром для веб-адміністраторів і інтернет-користувачів. Кіберзлочинці безперервно розвивають свої технології, відкриваючи нові експлойти. Зловредів стрімко поширюються через інтернет, вражаючи сервери і робочі станції. Справедливо сказати, що надійного способу повністю усунути дану загрозу не існує. Однак кожен власник веб-сайту і кожен інтернет-користувач може зробити інтернет безпечнішим, дотримуючись основні правила безпеки і постійно підтримуючи безпеку і чистоту своїх веб-сайтів і комп'ютерів.

Залиште свій коментар!

Is short for "Malicious Software". It is a term generally used for software installed on your computer that is designed to infiltrate or damage a computer system without the owner "s informed consent. Sometimes a problem with Firefox may be a result of malware installed on your computer, that you may not be aware of. This article describes what common symptoms are and how to prevent malware from being installed and get rid of them.

Table of Contents

How do I know that my Firefox problem is a result of malware?

Symptoms are various and depend on the malware but if you have one or several of these behaviors, you may have malware installed on your computer.

  • Some ad popups display all the time, Although you "ve blocked popups. For more information on blocking popups, see.
  • Your searches are redirected to another site in order to feed you content from that website and you are being disallowed from blocking them. For more information, see What to do when searches take you to the wrong search website.
  • Your home page has been hijacked. For more information on setting your home page, see How to set the home page.
  • Firefox never finishes loading or can "t load certain websites. For more information, see Websites show a spinning wheel and never finish loading and Firefox can not load certain websites.
  • Firefox crashes or hangs a lot. For more information, see Firefox crashes - Troubleshoot, prevent and get help fixing crashes and Firefox hangs or is not responding - How to fix.
  • Firefox does not start. For more information, see Firefox won "t start - find solutions.
  • Problems with connecting to Facebook. For more information on problems with Facebook, see Fix problems with Facebook games, chat and more.
  • Firefox keeps opening many tabs or windows. For more information, see Firefox repeatedly opens empty tabs or windows after you click on a link.
  • Unwanted toolbars have been installed. For more information on customizing Firefox, see Remove a toolbar that has taken over your Firefox search or home page and How to remove the Babylon toolbar, home page and search engine.

How do I prevent malware from being installed?

There are simple rules to follow in order to prevent malware from being installed on your computer:

  • Keep your operating system and other software updated: Installation of malicious software usually takes advantage of known security vulnerabilities in other programs, which may have been patched in later versions. Make sure you are using the latest version of all software you use, either by enabling the software "s automatic update feature, if available, or by checking for updates from the software provider and by using the Windows Update feature.
  • Don "t install untrusted software: Some websites offer you software to accelerate your browser, to help you search the Web, to add toolbars that make things Firefox already does. Some unwanted programs also come bundled in software packages. Usually, these programs gather information on your browsing behavior that serve only people who designed them and interfere with Firefox. Make sure you install add-ons from Mozilla "s add-on website and you uncheck unwanted programs in software wizards. Check to see if you have unwanted add-ons and disable or remove them.
  • Don "t click inside misleading pop-up windows: Many malicious websites try to install malware on your system by making images look like pop-up windows, or displaying an animation of the website scanning your computer. For more information on detecting a misleading pop-up, see Pop-up blocker settings, exceptions and troubleshooting.
  • Don "t run a fake Firefox: Download Firefox from mozilla.org/firefox.
  • Run anti-virus and anti-spyware real-time protection and scan your system periodically. Make sure your anti-virus and anti-spyware real-time protection is enabled. Scan your computer at least every month.

How do I get rid of malware?

The Wikipedia article Linux malware has information and recommendations for Linux users.

How do I get rid of malware?

Microsoft has basic free anti-virus and anti-spyware security software built-in on Windows 8 and Windows 10for Windows 7 (see What is Microsoft Security Essentials?). If your security software hasn "t detected malware, scan your system with the free malware scanning programs listed below. You should scan with all programs because each program detects different malware and make sure that you update each program to get the latest version of their databases before doing a scan.

Warning: Anti-virus and anti-spyware software may sometimes generate false positives. Consider quarantining suspicious files rather than deleting them.