База знаний

Инструкции и ответы на вопросы о хостинге, работе сайтов и приложений

ХакСкан

ХакСкан — инструмент Панели управления, который проверяет сайты на наличие вредоносного кода. Если у вас есть подозрения, что ваш сайт взломали или вы уже столкнулись с угрозой, проверьте сайты в сервисе ХакСкан:



Мы сами разработали ХакСкан на основе ClamAV, антивируса с открытым кодом. Каждую неделю мы собираем примеры вредоносного кода и на их основе создаем сигнатуры — шаблоны кода. Если ХакСкан обнаружил вредоносный файл, то это значит, что содержимое файла полностью или частично совпало с сигнатурой.

Есть две версии антивируса: бесплатная и подписка ХакСкан PRO. В бесплатной версии можно запустить только один чекап в месяц. С подпиской можно запускать сколько угодно чекапов и настраивать их расписание. Подробнее расскажем ниже.

Как пользоваться ХакСканом

Если вы впервые зашли в ХакСкан, то увидите такое:

Нажмите Запустить.

Если вы уже запускали чекапы, то экран будет отличаться:

Можно настроить расписание чекапов, чтобы они запускались автоматически: каждый день, раз в неделю или раз в месяц, — с подпиской ХакСкан PRO.


После запуска ХакСкан проверит, есть ли в файлах совпадения с его сигнатурами. Это займет несколько минут — зависит от количества файлов на аккаунте. Как только чекап завершится, ХакСкан покажет отчет, а его копию отправит на вашу почту.

Что вы увидите в отчете

Код во вредоносных и в обычных скриптах бывает похожим. Поэтому угроза может быть не во всех найденных файлах, и лучше изучить отчет вручную. А если ХакСкан не показывает угрозу, но вы уверены, что она есть, сообщите нам.

Пример отчета:

  • Мэйлер — скрипт, который позволяет рассылать спам
  • Веб-шелл — позволяет злоумышленникам управлять файлами сайта без доступа к аккаунту
  • Загрузчик — позволяет загружать новые файлы на аккаунт без вашего ведома. В отличие от веб-шелла не даст управлять существующими файлами
  • Фишинг — подделка страниц, чаще всего авторизации или формы оплаты. Используется для кражи паролей или данных банковских карт
  • Перенаправление — редиректит пользователей на рекламные, порнографические и другие сайты
  • Подмена содержимого сайта — меняет контент вашего сайта, не редиректит на другой домен
  • Спам-страницы и ссылки — скрипт, создающий на сайте спам-страницы или помещающий в код сайта посторонние ссылки. После индексации доверие поисковых систем к сайту снизится, и он опустится в поисковой выдаче
  • Работа с базами данных — позволяет злоумышленникам получить удаленный доступ к базе данных сайта
  • Вспомогательный скрипт — включает в себя фрагменты вредоносного кода
  • Закодированный скрипт — может оказаться чем угодно, его код зашифрован
  • Прокси-сервер — скрипт, который используется для проксирования запросов. Данные передаются через наш сервер другому, а изначальный источник запроса остается скрытым
  • Майнер — скрипт для добычи криптовалюты. Майнер потребляет очень много ресурсов и ухудшает работоспособность сайта или сервера
  • Поиск уязвимостей — такой скрипт может подбирать пароли, сканировать порты или искать уязвимости сайтов и серверов
  • Вредоносное ПО для Windows — наносит вред компьютеру, если скачать ПО
  • Эксплуатация уязвимости CMS — скрипт использует известные «лазейки» в коде CMS и с их помощью позволяет получить доступ к администрированию сайта
  • Выполнение произвольного кода — скрипт получает определенное поле из POST‑запроса и передает его функции eval(). Eval позволяет выполнить произвольный код
  • Сбор информации — скрипт позволяет злоумышленникам получать информацию о сайте и его посетителях и использовать ее для взлома
  • Ботнет— дает возможность организовывать DDoS-атаки и рассылки спама.


Что делать, если ХакСкан нашел угрозу

Нажмите на «три точки», чтобы открыть меню файла, и выберите Смотреть подробности.

Внутри вы увидите пример вредоносного кода. Теперь откройте зараженный файл в новой вкладке и найдите в этом файле похожий код. Он будет отличаться от примера только форматированием или переменными.

Если вы уверены, что файл не содержит угрозы, добавьте его в исключения в том же меню. В исключения автоматически попадут и другие файлы с похожим кодом.

О том, как определить источник угроз, очистить сайт от вирусов и избежать нового заражения, мы рассказали в статье Если ваш сайт взломали. Отправьте нам тикет, если не сможете избавиться от угроз самостоятельно.

Была ли эта статья полезной?