Основные методы автоматизированного поиска вредоносного кода на заражённом сайте с помощью сканеров и антивирусов (Manul, AI-Bolit, ClamAV, Maldet, антивирусных программ);
Эвристический подход к поиску вирусов на сайте в режиме командной строки (всемогущие FIND и GREP);
Поиск вредоносного кода с помощью проксирования и анализа HTTP-трафика (веб-прокси Fiddler, Charles);
Сторонние сервисы (Яндекс.Вебмастер, Quttera, Sucuri SiteCheck);
и другие варианты (VCS, Integrity Check, встроенные антивирусы CMS и т. д.).
6. Хакерские скрипты (шеллы, бэкдоры, «загрузчики»)
Инжекты в существующих скриптах
Вредоносный код в базе данных
Инжекты в кэширующих сервисах
Инжекты в системных компонентах сервера
6
Виды вредоносного кода
10. Статические
БД, шаблоны, вставки в скрипты, в кэш. сервисы
Динамические
Вставки в скрипты, в компоненты сервера, подгрузка с
внешних серверов, виджеты
10
Инжекты
15. Сканерами и антивирусами
Вручную (опыт и командная строка)
Анализ траффика
Анализ логов
Сторонними сервисами
Integrity Check, VCS, встроенные антивирусы и др.
15
Варианты поиска «вредоносов»
17. Поиск вредоносных и подозрительных скриптов
Удаление или размещение в карантин указанных файлов
Работает через браузер
Удобный и функциональный интерфейс
Каждое действие контролируется пользователем
http://yandex.ru/promo/manul
17
Манул - антивирус для сайтов
19. Поиск вредоносного кода в файлах сайта
Обнаружение фишинговых страниц
Определение уязвимостей в скриптах
Поиск дорвеев
Обнаружение хакерских инструментов
В командной строке или браузере (для небольших сайтов)
http://revisium.com/ai/ 19
AI-BOLIT - сканер для сайтов
21. Поиск вредоносного кода на сервере
Требуют установки и навыков работы с командной строкой
ClamAv ищет вирусы в архивах и бинарных файлах
clamav.net
rfxn.com/projects/linux-malware-detect/
21
ClamAv, Maldet - сканеры для сервера
22. Не подходят для лечения сайтов
База данных содержит небольшое число сигнатур
хакерских скриптов - пропуски «вредоносов» сайта
Но можно просканировать бэкап сайта
(проверить бинарные файлы)
22
Антивируса для десктопов
25. 1. Настраиваем среду тестирования
2. Включаем сниффер траффика или HTTP прокси
3. Загружаем сайт
4. Анализируем сессию
Fiddler
Charles
Wireshark
IE11
25
Анализ траффика
26. Поиск вредоносных активностей на хостинге (например,
спам-скриптов) в access_log
Анализ взлома (access_log, error_log, xferlog)
Анализ логов проактивной защиты (атаки)
26
Анализ логов