О вирусах на сайтах и методах борьбы с ними

Любой сайт, размещённый на хостинге, подвержен опасности заражения вирусами. Чем это грозит его владельцу? Поисковые системы в таком случае добавляют к сайту специальную отметку, которая видна в сниппете при выдаче результатов поиска. Она предупреждает пользователя, что переходить по ссылке опасно. В результате рейтинг такого сайта падает вместе с посещаемостью.

Даже после лечения сайта от вирусов восстановление посещаемости и репутации произойдёт не сразу. Особенно неприятно, если в продвижение ресурса были вложены деньги. Какой же есть выход?

ВИДЫ ВИРУСОВ НА САЙТЕ

Приведём пример. С началом пандемии стал бурно развиваться рынок онлайн-образования. Многие учебные заведения и платформы не имели защиты от киберугроз. К середине 2020 года на долю образовательной отрасли пришёлся 61% от общего количества кибер-атак. Одна из основных угроз — это фишинговые атаки.

Конечно, это не единственный вид кибер-угрозы, и учебные платформы — не единственная цель для вирусов.

Кратко перечислим основные виды вирусов.

Вирусные вставки кода на сайтах

Один из самых распространённых способов заражения - это iframe-вставки. С помощью специального кода, заключённого в теге iframe, можно загрузить и запустить на компьютере жертвы скрипт. Код спрятан в скрытое окно со значением 0 по высоте и по ширине, поэтому его визуально не обнаружить. Может быть добавление в код сайта функции eval.


Основные цели этих вставок:

  • Мошенничество.
  • Кража номеров кредитных карт.
  • Сбор логинов, паролей и прочей конфиденциальной информации.
  • Загрузка вирусов на компьютер клиента.

SQL-инъекции

Инъекции - это отдельный класс уязвимостей в OWASP Top-10. Это уязвимость в программном обеспечении, которая заключается в отсутствии или некорректном экранировании (фильтрации) специальных символов в участке кода, работающем с базой данных. Специальный код, как правило, переданный через поле ввода текста на сайте, даёт команды на выполнение и изменяет базу данных или делает копию её содержимого. Таким образом злоумышленник может получить/изменить пароли для управления сайтом.


Фишинговые атаки

Мошенники рассылают поддельные электронные письма или создают поддельные веб-сайты, имитирующие страницы входа известных сайтов, чтобы обманом заставить пользователей раскрыть свои логин и пароль. Эту практику иногда называют «фишингом» — отсылка к английскому слову «рыбалка», потому что мошенник выуживает информацию о личной учетной записи.

Веб-шелл

Это вредоносный скрипт, используемый злоумышленником для поддержания постоянного доступа к уже скомпрометированному веб-приложению. Сама веб-оболочка не может атаковать или использовать удаленную уязвимость, поэтому это всегда второй этап атаки (этот этап также называется пост-эксплуатацией). Веб-оболочки могут обеспечить постоянный бэкдор в веб-приложения и связанные с ними системы.

Бэкдоры

Это тип вредоносного ПО, которое отменяет обычные процедуры аутентификации для доступа к системе. В результате удаленный доступ предоставляется к ресурсам в приложении, что дает злоумышленникам возможность удаленно выполнять системные команды и обновлять вредоносное ПО. Установка бэкдора достигается за счет использования уязвимых компонентов в веб-приложении.

Дорвей

Инструмент «черного SEO». Сайт, созданный для перенаправления пользователей на другой интернет-ресурс. Такие ресурсы считаются поисковым спамом. Они создаются с целью занять высокие позиции в выдаче по выбранным поисковым запросам.

Спам-скрипты

Ведут рассылку спама через php-скрипты. Владелец сайта узнаёт от такой рассылке, как правило, только из предупреждения от хостинговой компании.

КАК ВИРУС ПОПАДАЕТ НА САЙТ?

Какими путями может быть заражён сайт:

  • Через компьютер веб-мастера, который пользуется FTP-менеджерами, если он сохраняет пароли от админки в браузере и использует типовые имена учётных записей;
  • Высока доля веб-приложений с уязвимостями XSS (межсайтовое выполнение сценариев). Один из частых примеров - кража Cookies (файлы в браузере для хранения данных);
  • После утечки данных доступа к хостингу в письмах (стандартная практика взлома почтовых ящиков и их сканирования для поиска такой информации);
  • Установка плагинов, тем и расширений с уже имеющимся бэкдором внутри (например, из непроверенного источника);
  • Небезопасное восстановление паролей;
  • Уязвимости CMS, плагинов и расширений CMS;
  • Уязвимости в самописных или сторонних скриптах.

Самописные сайты или популярные движки — любой ресурс может оказаться целью атакующего. Причем CMS имеют открытый код. Когда злоумышленник находит уязвимость, он при помощи эксплоита (подвид вредоносных программ) или бота пытается ей воспользоваться на всех сайтах, имеющих эту версию движка. Поэтому атака бывает массовой, а из-за того, что вовремя обновляют версии менее половины владельцев сайтов, проблема может быть масштабной.

В среднем на одно веб-приложение приходится более 30 уязвимостей, шесть из которых имеют высокий уровень риска.

  • Утечка данных (75% вероятности)
  • Доступ к приложению (72% вероятности)
  • Доступ к СУБД (25% вероятности)
  • Чтение файлов (23% вероятности)
  • Захват контроль над сайтом (20% вероятности)