17 Ноября, 2016

Сканер AI-BOLIT + веб-сканер ReScan.Pro = комплексный анализ сайта на вирусы и взлом

revisium
В комании “Ревизиум” разработаны два уникальных сканера, которые позволяют выявить вирусы на сайте и другие проблемы безопасности.
Это сканер файлов AI-BOLIT и веб-сканер ReScan.Pro .

Многие пользователи данных продуктов не до конца понимают процедуру диагностики безопасности сайта и разницу между сканерами, и ошибочно начинают сравнивать их эффективность. В данной заметке мы расскажем, как правильно проверять сайт на взлом и заражение, чем сканеры отличаются друг от друга и почему сканеры необходимо использовать совместно.

Если рассматривать сайт в ключе информационной безопасности, взлома и заражения, то последний состоит из трех сущностей (при условии безопасного хостинга):
  • Файлы на хостинге
  • База данных
  • Веб-страницы
Любая из перечисленных сущностей в результате взлома и заражения может содержать вирусы и опасные вставки:
  • код мобильного редиректа может быть внедрен в шаблоны сайта или легитимные скрипты CMS,
  • в страницы (посты) сайта, хранящиеся в базе данных, может быть добавлен вирусный фрейм или javascript-код, атакующий пользователей,
  • а веб-страницы могут подгружать опасный код через виджеты или тизерную рекламу.
Кроме того, при взломе сайта хакер загружает веб-шеллы, бэкдоры, дропперы, загрузчики и другой хакерский софт, который позволяет злоумышленнику закрепиться на сайте и проводить повторные взломы и заражения, даже если вредоносный код из базы или шаблонов удален.

Поэтому диагностика сайта всегда должна включать проверку всех трех элементов сайта: файлов на хостинге, базы данных и внешнего представления сайта (страниц, которые просматривают посетители). Только в этом случае можно достоверно диагностировать заражение сайта, а затем и устранить его.
Упомянутые выше сканеры позволяют проверить отдельные компоненты сайта.
Сканер AI-BOLIT проверяет только файлы на хостинге и не имеет возможности проверить базу данных и страницы сайта. AI-BOLIT обнаруживает веб-шеллы, бэкдоры, фишинговые страницы, дорвеи и ряд других статических инжектов. С помощью данного сканера файлов можно искать любые хакерские инструменты на хостинге, статические вставки вредоносного кода в шаблонах и код, содержащий известные уязвимости в CMS – все то, что физически присутствует в файлах, пусть даже в зашифрованном виде. Однако сканер не умеет определять вирусы, которые вставляются на страницу из базы данных или подгружаются со сторонних зараженных сайтов. Если вирусный код физически присутствует в шаблонах или легитимных скриптах, он будет обнаружен сканером AI-BOLIT. Если вирусный код скрыто загружается внутри тизерного рекламного блока или опасного виджета (соц. кнопок, виджета погоды, информера курса валют) с другого сайта, то его физически нет в файлах на хостинге, поэтому AI-BOLIT не увидит его. Но, к счастью, есть второй сканер, который умеет анализировать сайт динамически и использует поведенческий анализ.

Веб-сканер  ReScan.Pro детектирует вирусный код на страницах, во внешних скриптах, виджетах, определяет скрытые мобильные и поисковые редиректы, нахождение сайта в черных списках поисковых систем и антивирусных сервисов. Если вирус находится в базе данных или в зашифрованном виде и встраивается в код страницы «на лету», то ReScan.Pro его легко детектирует с помощью встроенного трассировщика кода, динамического и поведенческого анализатора. Все это можно сделать только веб-сканером, который “притворяется” реальным посетителем, и заходит на сайт с нескольких браузеров. Подобные проблемы нельзя выявить, сканируя файлы на хостинге. Однако, сканер может выявить проблемы только на тех страницах или в тех файлах, адреса которых он знает и которые доступны пользователю в браузере. Если хакерский бэкдор скрыт внутри системных каталогов CMS (например, /wp-includes/js/myshell9782734.php) и его адрес знает только хакер, то веб-сканер «снаружи» не сможет его «увидеть». Его можно обнаружить только при проверке файлов, то есть сканером AI-BOLIT. То же самое касается фишинговых страниц, дорвеев и скрытых хакерских инструментов.

Резюме
Очевидно, что сравнивать эффективность сканеров AI-BOLIT и ReScan.Pro – не корректно, так как каждый из них предназначен для диагностики определенных элементов сайта, которые могут содержать вирусы, хакерские скрипты или хакерские инъекции. И только совместное использование двух сканеров дает гарантированный положительный эффект обнаружения угроз и заражения сайта.

Проверьте свой сайт новой версией сканера AI-BOLIT и веб-сканера ReScan.Pro , чтобы быть уверенным в безопасности ресурса и отсутствии веб-угроз.