ХакСкан — инструмент Панели управления, который проверяет сайты на наличие вредоносного кода. Если у вас возникли подозрения на взлом сайта или вы уже столкнулись с этой проблемой, проверьте сайты вашего аккаунта в разделе «Сайты» → «ХакСкан»:
ХакСкан разработан на основе ClamAV, антивируса с открытым кодом.
В процессе нашей работы мы собираем множество примеров вредоносного кода и на их основе создаем сигнатуры — шаблоны кода. Если ХакСкан обнаружил вредоносный файл, то это значит, что его содержимое полностью или частично совпало с сигнатурой.
Как пользоваться
Чтобы проверить сайты аккаунта, нажмите кнопку «Запустить проверку»:
или настройте запуск по расписанию — каждый день, один раз в неделю или месяц.
После запуска ХакСкан проверит, есть ли совпадения из его сигнатур в ваших файлах. Это займет несколько минут в зависимости от общего количества файлов на вашем аккаунте.
Как только проверка завершится, отчет о результате будет отправлен на контактный адрес почты.
Во вкладке «Отчеты» можно посмотреть результаты предыдущих проверок:
Раскрыть список вредоносных файлов можно по клику на строку «Подозрительные файлы».
Что есть в отчете, кроме списка зараженных файлов
Важно исследовать файлы из списка вручную: не все из них могут содержать вирус. Похожие фрагменты кода встречаются и во вредоносных скриптах, и в обычных. Некоторые зараженные файлы ХакСкан может не найти, потому что злоумышленники постоянно совершенствуют методы шифрования и ищут новые способы сокрытия кода.
В отчете содержится информация, которая поможет определить метод размещения вредоносного кода.
Дата изменения
Дата изменения файла даст понять, когда он был заражен. Если в результате взлома ваш сайт работает некорректно, восстановите его из резервной копии, созданной до момента заражения.
Классификация
Мы разделили вредоносные файлы на несколько типов в зависимости от цели злоумышленника.
- Mailer — скрипт, который используется для массовой отправки писем (рассылки спама).
- WEB-Shell (веб-шелл) — позволяет манипулировать файлами аккаунта, загружать новые, редактировать старые, не имея доступа к аккаунту. Достаточно обратиться к веб-шеллу через браузер, чтобы получить доступ к сайту на сервере.
- Загрузчик — позволяет загружать новые файлы на аккаунт. В отличие от веб-шелла, загрузчик не позволит что-то сделать с существующими.
- Фишинг — страница, подделывающая другой популярный сайт, чаще всего страницы авторизации или формы оплаты. Используется для кражи паролей или данных банковских карт.
- Перенаправление — скрипт, перенаправляющий на другой сайт (рекламный, порнографический или для накрутки посещений).
- Подмена содержимого сайта — меняет контент вашего сайта, не перенаправляет на другой домен.
- Нежелательные страницы/ссылки — скрипт, создающий на сайте спам-страницы или помещающий в код сайта посторонние ссылки. Поисковые роботы, индексируя ваш сайт, учитывают нежелательные страницы в поисковой выдаче, что снижает доверие поисковых систем к вашему сайту.
- Работа с базами данных — позволяет получить удаленный доступ к базе данных сайта.
- Вспомогательный скрипт — сам по себе угрозы не несет, но включает в себя фрагменты вредоносных скриптов.
- Закодированный скрипт — скрипт, код в котором зашифрован. Может оказаться чем угодно.
- Прокси-сервер — скрипт, который используется для проксирования запросов. Данные передаются через наш сервер другому, скрывая изначальный источник запроса.
- Майнер — скрипт для добычи криптовалюты. Опасен потреблением большого количества ресурсов, что может привести к неработоспособности сайта или сервера.
- Поиск уязвимостей других серверов/сайтов — такой скрипт может подбирать пароли, сканировать порты или искать уязвимости в других сайтах.
- Вредоносное ПО для Windows — вирус, написанный для ОС Windows. Находясь на хостинге, не несет угрозы, однако может нанести вред компьютеру пользователя, если будет скачан.
- Эксплуатация уязвимости CMS — скрипт, использующий известные «лазейки» в коде CMS, позволяющий с их помощью получить доступ к администрированию сайта.
- Выполнение произвольного кода — скрипт, который получает определенное поле из POST-запроса и передает его функции eval. Eval опасна тем, что позволяет выполнить любой произвольный код PHP.
Описание кода
Файл может быть заражен как целиком, так и содержать внутри себя фрагменты вредоносного кода.
Если в выводе будет фраза «весь файл», то он считается вредоносным полностью. Сигнатура срабатывает на хеш-сумму файла:
Также в выводе может быть указан пример вредоносного кода:
В выводе изначально отображена миниатюра кода, который подходит под пример сигнатуры. Чтобы увидеть пример кода целиком, нажмите на строку:
При клике на путь к файлу вы перейдете в Файловый менеджер — откроется директория, где этот файл размещен. В содержимом этого файла обнаружится код, который похож на демонстрируемый ХакСканом пример. Иногда это весь код, который есть в файле, либо вредоносный код внедрен в легитимный.
Если файл был перемещен или удален, строка с ним будет зачеркнута:
Ознакомьтесь со статьей, в которой мы рассказали, как определить метод взлома, удалить вирусы и избежать повторного заражения. Если вам не удастся установить источник заражения самостоятельно, обратитесь за помощью в службу поддержки.
Для удаления вставок вредоносного кода используйте пример кода — он стал основанием для создания сигнатуры. При поиске вредоносного кода в файле опирайтесь на его пример. Скорее всего, в вашем файле будет немного другой код (иное форматирование или переменные), но пример поможет вам или вашему разработчику его обнаружить.
Если вы уверены, что найденный ХакСканом файл не содержит вредоносного кода и был определен ошибочно (ложные срабатывания бывают у любого антивирусного ПО), добавьте его в белый список, нажав на иконку-звездочку слева от имени файла.
В белом списке при этом окажется не только добавленный вами файл, но и все другие файлы с таким же содержимым. Если содержимое изменится — файлы из списка пропадут.
Просматривайте и управляйте списком в одноименном разделе:
