ХакСкан — инструмент Панели управления, который проверяет сайты на наличие вредоносного кода. Если у вас есть подозрения, что ваш сайт взломали или вы уже столкнулись с угрозой, проверьте сайты в сервисе ХакСкан:
Мы сами разработали ХакСкан на основе ClamAV, антивируса с открытым кодом. Каждую неделю мы собираем примеры вредоносного кода и на их основе создаем сигнатуры — шаблоны кода. Если ХакСкан обнаружил вредоносный файл, то это значит, что содержимое файла полностью или частично совпало с сигнатурой.
Есть две версии антивируса: бесплатная и подписка ХакСкан PRO. В бесплатной версии можно запустить только один чекап в месяц. С подпиской можно запускать сколько угодно чекапов и настраивать их расписание. Подробнее расскажем ниже.
Как пользоваться ХакСканом
Если вы впервые зашли в ХакСкан, то увидите такое:
Нажмите Запустить.
Если вы уже запускали чекапы, то экран будет отличаться:
Можно настроить расписание чекапов, чтобы они запускались автоматически: каждый день, раз в неделю или раз в месяц, — с подпиской ХакСкан PRO.
После запуска ХакСкан проверит, есть ли в файлах совпадения с его сигнатурами. Это займет несколько минут — зависит от количества файлов на аккаунте. Как только чекап завершится, ХакСкан покажет отчет, а его копию отправит на вашу почту.
Что вы увидите в отчете
Код во вредоносных и в обычных скриптах бывает похожим. Поэтому угроза может быть не во всех найденных файлах, и лучше изучить отчет вручную. А если ХакСкан не показывает угрозу, но вы уверены, что она есть, сообщите нам.
Пример отчета:
- Мэйлер — скрипт, который позволяет рассылать спам
- Веб-шелл — позволяет злоумышленникам управлять файлами сайта без доступа к аккаунту
- Загрузчик — позволяет загружать новые файлы на аккаунт без вашего ведома. В отличие от веб-шелла не даст управлять существующими файлами
- Фишинг — подделка страниц, чаще всего авторизации или формы оплаты. Используется для кражи паролей или данных банковских карт
- Перенаправление — редиректит пользователей на рекламные, порнографические и другие сайты
- Подмена содержимого сайта — меняет контент вашего сайта, не редиректит на другой домен
- Спам-страницы и ссылки — скрипт, создающий на сайте спам-страницы или помещающий в код сайта посторонние ссылки. После индексации доверие поисковых систем к сайту снизится, и он опустится в поисковой выдаче
- Работа с базами данных — позволяет злоумышленникам получить удаленный доступ к базе данных сайта
- Вспомогательный скрипт — включает в себя фрагменты вредоносного кода
- Закодированный скрипт — может оказаться чем угодно, его код зашифрован
- Прокси-сервер — скрипт, который используется для проксирования запросов. Данные передаются через наш сервер другому, а изначальный источник запроса остается скрытым
- Майнер — скрипт для добычи криптовалюты. Майнер потребляет очень много ресурсов и ухудшает работоспособность сайта или сервера
- Поиск уязвимостей — такой скрипт может подбирать пароли, сканировать порты или искать уязвимости сайтов и серверов
- Вредоносное ПО для Windows — наносит вред компьютеру, если скачать ПО
- Эксплуатация уязвимости CMS — скрипт использует известные «лазейки» в коде CMS и с их помощью позволяет получить доступ к администрированию сайта
- Выполнение произвольного кода — скрипт получает определенное поле из POST‑запроса и передает его функции eval(). Eval позволяет выполнить произвольный код
- Сбор информации — скрипт позволяет злоумышленникам получать информацию о сайте и его посетителях и использовать ее для взлома
- Ботнет— дает возможность организовывать DDoS-атаки и рассылки спама.
Что делать, если ХакСкан нашел угрозу
Нажмите на «три точки», чтобы открыть меню файла, и выберите Смотреть подробности.
Внутри вы увидите пример вредоносного кода. Теперь откройте зараженный файл в новой вкладке и найдите в этом файле похожий код. Он будет отличаться от примера только форматированием или переменными.
Если вы уверены, что файл не содержит угрозы, добавьте его в исключения в том же меню. В исключения автоматически попадут и другие файлы с похожим кодом.
О том, как определить источник угроз, очистить сайт от вирусов и избежать нового заражения, мы рассказали в статье Если ваш сайт взломали. Отправьте нам тикет, если не сможете избавиться от угроз самостоятельно.