В прошлой статье мы рассказывали о вирусах на сайте: какими они бывают и как попадают на сайт. В этот раз поговорим о способах устранения вредоносного кода с помощью специальной программы — Антивирус для сайта RU-CENTER.
Что говорят цифры
Отчет об актуальных угрозах за первый квартал 2020 года от Positive Technologies показывает, что из-за эпидемии коронавируса цифры по киберинцидентам и атакам на сайты только растут. В 2020-м бизнес срочно уходил в онлайн, и продолжает делать это сейчас. Часто переход в онлайн происходит в сжатые сроки и предприниматели оставляют вопросы безопасности данных на потом, в первую очередь думая о том, как сохранить клиентов и организовать удаленную работу для сотрудников.
По данным компании Sitelock, глобального поставщика решений по кибербезопасности и защите данных, по состоянию на 2020 год в мире от вирусов страдают уже около 12 миллионов сайтов. Это означает, что 1 из 100 сайтов в сети заражен.
Поисковики и браузеры постоянно работают над тем, чтобы защитить пользователей от попадания на такие сайты и, как следствие, заражения. «Гугл» делает это с помощью сервиса «Безопасный просмотр» — предупреждает пользователей о том, что сайт опасен, в строке поиска или уведомлением в браузере.
Но вирусы с каждым годом становятся умнее и маскируются все лучше. По данным того же отчета SiteLock, 9 из 10 зараженных сайтов свободно работают — поисковики не занесли их в черный список. Это значит, что любой пользователь может зайти на один из этих сайтов и поймать вирус. Также это означает, что владелец зараженного сайта может долго не замечать, что с сайтом что-то не так.
Чтобы не узнавать о заражении от поисковиков в момент, когда сайт уже недоступен, важно регулярно сканировать его на предмет уязвимостей. Покажем, как в этом помогает Антивирус RU-CENTER.
Что такое Антивирус для сайта
Антивирус для сайта делает то же самое, что и антивирус для ПК: ищет вирусы и устраняет их. Только проверяет он не файлы на компьютере, а файлы сайта в папках на хостинге.
Посмотрите интервью с Георгием Казаровым — экспертом по безопасности RU-CENTER — «Антивирус для сайта: как использовать эффективно».
Там мы обсуждаем безопасность сайтов, вирусы и другие виды угроз, защиту от заражения и показываем, как работает Антивирус для сайта.
Антивирус RU-CENTER ищет вредоносный код в двух направлениях — по сигнатурам и с помощью эвристического анализа.
Сигнатуры вирусов — неизменные общие участки кодов известных вирусов. У каждого антивируса есть база таких сигнатур. Антивирус ищет в коде файлов сайта известные ему сигнатуры и, если находит, отмечает подозрительными.
Этот принцип работы антивируса работает не всегда. Например, полиморфные вирусы так обнаружить нельзя — они не имеют сигнатур, их коды постоянно изменяются. Плюс постоянно появляются новые вирусы, которых еще нет в базах антивирусов, а значит, поиск по сигнатурам невозможен.
Эвристический анализ работает иначе. Антивирус наблюдает за работой кодов программ и отслеживает те, которые ведут себя как вирусы, — выявляет паттерны поведения. С помощью эвристического анализа Антивирус может находить полиморфные вирусы и определять угрозу до того, как в базу попадет ее сигнатура.
Такой принцип работы позволяет Антивирусу RU-CENTER распознавать все самые популярные и опасные уязвимости:
- XSS или межсайтовый скриптинг,
- LFI — включение локального файла,
- SQL-инъекции,
- Malware,
- Spyware,
- Трояны,
- Червей,
- Rootkits,
- Keyloggers,
- Майнеры и др.
Подробно о том, чем опасны эти вирусы, мы рассказали в статье «Вирусы на сайте: какие бывают и как могут навредить».
Как работает Антивирус для сайта
Антивирус начинает поиск вирусов сразу же с момента подключения к хостингу. Он будет активен весь период действия услуги, если не остановить его работу принудительно. Расскажем об основных функциях Антивируса.
Находит и удаляет вредоносный код
Антивирус автоматически ищет вредоносный код в файлах сайта. Автопоиск можно настроить на каждые 6, 12 или 24 часа — периодичность выбирается в панели управления услугой.
Запускать автопоиск вирусов желательно чаще — каждые 6 часов, если вы постоянно обновляете контент на сайте: загружаете новые файлы по FTP, скачиваете темы для сайта и т. д. Если же изменения на сайте происходят нечасто, достаточно проверять площадку раз в сутки. Делать это лучше в нерабочее время компании: во время проверки тратятся вычислительные мощности хостинга — хоть и незначительные, но сайт может работать медленнее.
График проверки и отчет сканирования в панели управления Антивирусом
Если Антивирус найдет угрозу, вы тут же получите сообщение на электронную почту. Также на главной странице панели управления появится уведомление и вы сможете посмотреть подробный отчет о найденных угрозах.
Результаты сканирования сайта в отчете Антивируса RU-CENTER
В окне отчета доступны следующие опции:
- вылечить вирус — антивирус уничтожит кусок вредоносного кода в файле, сохранив остальной код нетронутым;
- удалить файл с вирусом полностью;
- добавить файл в исключение — чтобы при следующей проверке он снова не попал в отчет.
Антивирус позволяет лечить вирусы вручную и автоматически.
Лечение вручную актуально, например, когда разработчик вашего сайта писал код самостоятельно и использовал при этом нетиповые подходы к разработке. Антивирус может посчитать неизвестные ему участки кода опасными и ошибиться — такое случается с любыми антивирусами.
Вы сможете посмотреть, что именно Антивирус посчитал угрозой, вылечить реальные вирусы и добавить безопасные файлы в список исключений для будущих проверок.
Антивирус предлагает вылечить зараженный файл php
Если вы не разбираетесь в коде, доверьте дело разработчику или самому Антивирусу — он сделает все автоматически.
В режиме Автоматического лечения программа сама решает, удалять вредоносные файлы или лечить их. Если решает лечить, то вырежет из кода только опасную часть, а сами файлы оставит.
Антивирус предлагает автоматически лечить зараженные файлы
Информацию о вылеченном файле можно будет посмотреть в отчете, где было найдено заражение.
Отчет о вылеченном файле
Все удаленные файлы записываются в отдельную директорию на хостинге сайта. Они становятся резервными копиями и не несут опасности для сайта или его посетителей. Делается это на случай, если какой-то файл удалится случайно — тогда из директории его можно будет быстро восстановить.
Менеджер файлов: позволяет управлять файлами хостинга и просматривать зараженный код
Антивирус RU-CENTER поддерживает встроенный Менеджер файлов — инструмент, с помощью которого можно совершать все стандартные операции с файлами и директориями на хостинге: удалять, добавлять и искать их. Это аналог стандартного FTP-клиента.
Панель Менеджера файлов Антивируса RU-CENTER
Также с помощью Менеджера файлов вы можете работать с зараженными файлами — просматривать вредоносный код, который они содержат. Обычно файлы состоят из тысяч строк кода, и вредоносный код среди них найти непросто. Для удобства Менеджер файлов подсвечивает такие участки кода.
Подсвеченный участок вредоносного кода в Менеджере файлов Антивируса
Помогает найти сайт в черных списках
Черные списки поисковиков и браузеров — это базы опасных, зараженных доменов, IP-адресов и ресурсов. В такие списки попадают сайты, которые распространяют вирусы, занимаются фишингом, перенаправляют посетителей на опасные страницы и т. д.
Если сайт оказывается в черном списке Яндекса или «Гугла», он теряет позиции в поиске или вовсе исключается из него. Если в черном списке браузера — пользователь будет видеть предупреждение об опасности, когда попытается зайти на такой сайт. В обоих случаях попасть в черный список означает потерять трафик, репутацию и клиентов.
Антивирус RU-CENTER проверяет сайт по всем известным черным спискам. Проверка происходит автоматически, не зависит от периодичности проверки сайта на вирусы и не требует настройки.
Если сайт был обнаружен в черных списках, в панели управления появится специальная иконка.
Иконка в панели управления Антивирусом сообщает, что сайт попал в черный список
Если нажать на иконку, можно увидеть детали отчета и базы, в которые попал сайт.
Антивирус сообщает, что сайт попал в 5 черных списков
В этом же окне Антивирус предлагает рекомендации по удалению сайта из черного списка. Чтобы увидеть рекомендацию, нужно кликнуть на знак вопроса рядом с названием списка, в который попал сайт.
Антивирус рассказывает, что делать, чтобы удалить сайт из черного списка
Web App Firewall для популярных CMS
Web App Firewall (WAF) — еще одна важная опция Антивируса. WAF сканирует весь трафик, поступающий на сайт, и блокирует все запросы, которые хоть немного похожи на подозрительные: попытки взлома, деятельность ботов и другие.
Окно WAF в интерфейсе Антивируса. На верхнем графике справа виден всплеск трафика
Следить за объемом и качеством трафика очень важно. Активность ботов съедает ресурсы сайта, нагружает его — это может привести к тому, что сайт будет недоступен для пользователей. Но самое опасное, что через подобные атаки злоумышленник может взломать сайт.
Сервис Web App Firewall в рамках услуги Антивирус доступен только для сайтов, использующих следующие CMS-системы:
Joomla
Wordpress
DLE
Drupal 6.x/7.x/8.x
ModX Evolution/Revolution
1C Bitrix
Yii framework 2.x
OpenCart
CS.cart
Netat
PrestaShop
HostCms
UMI.CMS
Amiro.CMS
Magento
MS Made
Simple
XenForo forum
Codeigniter
PhpBB
Webasyst
Stressweb
Diafan.CMS
Vtiger CRM
Koobi CMS
Simpla
VipBox(Engio)
InstantCMS
Если вы используете самописную CMS-систему или систему не из списка выше, то сервис WAF будет недоступен для вашего сайта. Работа WAF основана на определенных свойствах CMS и их поведении при обработке поступающих запросов извне. Зная эти свойства, WAF обнаруживает нелегитимные запросы и блокирует их. Пока WAF знаком только с работой вышеперечисленных систем управления сайтом — этот список будет дополняться по мере развития сервиса.
Какой тариф Антивируса выбрать
RU-CENTER предлагает три тарифа Антивируса. Тариф выбирают в зависимости от потребностей, бюджета и квалификации специалистов, которые отвечают за безопасность сайта.
Тарифы Антивируса RU-CENTER
Тарифы «Персональный» и «Профессиональный» подойдут тем, у кого большой опыт и достаточно знаний в области безопасности, кто самостоятельно следит за сайтом, контентом и проблемами с ним. Эти тарифы упростят ручную работу и позволят оперативно узнавать о проблемах. Здесь нет дополнительных функций, которые не нужны опытным специалистам безопасности.
Тариф «Для бизнеса» подходит тем, кто не очень разбирается в сфере безопасности, и крупным компаниям — тем, кому важны надежность сайта, быстрое решение проблем и автоматизация. В этот тариф включены опции автоматического лечения и WAF.
Антивирус RU-CENTER можно подключить к любому сайту, независимо от того, у какой хостинговой компании обслуживается ваш сайт. Главное, чтобы хостинг поддерживал PHP.
Подключить и настроить Антивирус можно за несколько несложных шагов: мы подробно рассказали о них в разделе «Помощь».
Чек-лист защиты от вредоносного кода
В заключение напомним, что нужно делать, чтобы защитить сайт от заражения, и как все исправить, если на площадку все-таки попал вирус.
Работайте с опытными и компетентными разработчиками и старайтесь как можно реже их менять. Специалисту будет легче работать над кодом, который он написал, и вероятность неожиданной ошибки сведется к минимуму. А каждому новому специалисту будет все сложнее анализировать чужой код и находить в нем уязвимые места.
Не размещайте сайт у сомнительных хостинг-провайдеров с плохими отзывами. Такие хостеры могут экономить на защите своих серверов — это может привести ко взлому со стороны веб-сервера хостера.
Устанавливайте разные пароли. Если злоумышленник подберет один ключ, он не сможет открыть им все остальные двери.
Прочитайте все о CMS вашего сайта, обратите особенное внимание на ее минусы и слабые места. Так вы будете во всеоружии, если злоумышленники попробуют пробить защиту сайта.
Используйте лицензионные CMS и вовремя обновляйте их. Устаревшая версия CMS — одна из самых популярных уязвимостей, из-за которой вирусы проникают на сайт.
Не устанавливайте сторонние плагины и скрипты для CMS из непроверенных источников. Удаляйте старые неиспользуемые плагины.
Ежедневно проверяйте сайт Антивирусом от RU-CENTER. Лучше использовать полный тариф — «Для бизнеса». В этом случае программа сможет не только защищать сайт от вирусов, но и будет автоматически лечить зараженные файлы и фильтровать подозрительный трафик с помощью Web App Firewall.
Туториал: Как работает Антивирус для сайта