База знаний

Инструкции и ответы на вопросы о хостинге, работе сайтов и приложений

Панель управления

Хак-Скан — инструмент Панели управления, который проверяет сайты на наличие вредоносного кода. Если у вас возникли подозрения на взлом сайта или вы уже столкнулись с этой проблемой, проверьте сайты вашего аккаунта в разделе «Безопасность» → «ХакСкан»:

ХакСкан разработан на основе ClamAV, антивируса с открытым кодом.

В процессе нашей работы мы собираем множество примеров вредоносного кода и на их основе создаем сигнатуры — шаблоны кода. Если ХакСкан обнаружил вредоносный файл, то это значит, что его содержимое полностью или частично совпало с сигнатурой.

Как пользоваться

Чтобы проверить сайты аккаунта, нажмите кнопку «Запустить проверку»:

или настройте запуск по расписанию — каждый день, один раз в неделю или месяц.

После запуска ХакСкан проверит, есть ли совпадения из его сигнатур в ваших файлах. Это займет несколько минут в зависимости от общего количества файлов на вашем аккаунте.

Как только проверка завершится, отчет о результате будет отправлен на контактный адрес почты.

Во вкладке «Отчеты» можно посмотреть результаты предыдущих проверок:

Раскрыть список вредоносных файлов можно по клику на строку «Зараженные файлы».

Что есть в отчете, кроме списка зараженных файлов

Важно исследовать файлы из списка вручную: не все из них могут содержать вирус. Похожие фрагменты кода встречаются и во вредоносных скриптах, и в обычных. Некоторые зараженные файлы ХакСкан может не найти, потому что злоумышленники постоянно совершенствуют методы шифрования и ищут новые способы сокрытия кода.

В отчете содержится информация, которая поможет определить метод размещения вредоносного кода.

Дата изменения

Дата изменения файла даст понять, когда он был заражен. Если в результате взлома ваш сайт работает некорректно, восстановите его из резервной копии, созданной до момента заражения. 

Классификация

Мы разделили вредоносные файлы на несколько типов в зависимости от цели злоумышленника. 

  • Mailer — скрипт, который используется для массовой отправки писем (рассылки спама).
  • WEB-Shell (веб-шелл) — позволяет манипулировать файлами аккаунта, загружать новые, редактировать старые, не имея доступа к аккаунту. Достаточно обратиться к веб-шеллу через браузер, чтобы получить доступ к сайту на сервере.
  • Загрузчик — позволяет загружать новые файлы на аккаунт. В отличие от веб-шелла, загрузчик не позволит что-то сделать с существующими.
  • Фишинг — страница, подделывающая другой популярный сайт, чаще всего страницы авторизации или формы оплаты. Используется для кражи паролей или данных банковских карт.
  • Перенаправление — скрипт, перенаправляющий на другой сайт (рекламный, порнографический или для накрутки посещений).
  • Подмена содержимого сайта — меняет контент вашего сайта, не перенаправляет на другой домен.
  • Нежелательные страницы/ссылки — скрипт, создающий на сайте спам-страницы или помещающий в код сайта посторонние ссылки. Поисковые роботы, индексируя ваш сайт, учитывают нежелательные страницы в поисковой выдаче, что снижает доверие поисковых систем к вашему сайту.
  • Работа с базами данных — позволяет получить удаленный доступ к базе данных сайта. 
  • Вспомогательный скрипт — сам по себе угрозы не несет, но включает в себя фрагменты вредоносных скриптов.
  • Закодированный скрипт — скрипт, код в котором зашифрован. Может оказаться чем угодно.
  • Прокси-сервер — скрипт, который используется для проксирования запросов. Данные передаются через наш сервер другому, скрывая изначальный источник запроса.
  • Майнер — скрипт для добычи криптовалюты. Опасен потреблением большого количества ресурсов, что может привести к неработоспособности сайта или сервера.
  • Поиск уязвимостей других серверов/сайтов — такой скрипт может подбирать пароли, сканировать порты или искать уязвимости в других сайтах.
  • Вредоносное ПО для Windows — вирус, написанный для ОС Windows. Находясь на хостинге, не несет угрозы, однако может нанести вред компьютеру пользователя, если будет скачан.
  • Эксплуатация уязвимости CMS — скрипт, использующий известные «лазейки» в коде CMS, позволяющий с их помощью получить доступ к администрированию сайта.
  • Выполнение произвольного кода  —  скрипт, который получает определенное поле из POST-запроса и передает его функции eval. Eval опасна тем, что позволяет выполнить любой произвольный код PHP.

Описание кода

Файл может быть заражен как целиком, так и содержать внутри себя фрагменты вредоносного кода.

Если в выводе будет фраза «весь файл», то он считается вредоносным полностью. Сигнатура срабатывает на хеш-сумму файла:

Также в выводе может быть указан пример вредоносного кода:

В выводе изначально отображена миниатюра кода, который подходит под пример сигнатуры. Чтобы увидеть пример кода целиком, нажмите на строку:

При клике на путь к файлу вы перейдете в Файловый менеджер — откроется директория, где этот файл размещен. В содержимом этого файла обнаружится код, который похож на демонстрируемый ХакСканом пример. Иногда это весь код, который есть в файле, либо вредоносный код внедрен в легитимный.

Если файл был перемещен или удален, строка с ним будет зачеркнута:


А делать-то что?

Ознакомьтесь со статьей, в которой мы рассказали, как определить метод взлома, удалить вирусы и избежать повторного заражения. Если вам не удастся установить источник заражения самостоятельно, обратитесь за помощью в службу поддержки.

Для удаления вставок вредоносного кода используйте пример кода — он стал основанием для создания сигнатуры. При поиске вредоносного кода в файле опирайтесь на его пример. Скорее всего, в вашем файле будет немного другой код (иное форматирование или переменные), но пример поможет вам или вашему разработчику его обнаружить.

Если вы уверены, что найденный ХакСканом файл не содержит вредоносного кода и был определен ошибочно (ложные срабатывания бывают у любого антивирусного ПО), добавьте его в белый список, нажав на иконку-звездочку слева от имени файла.

В белом списке при этом окажется не только добавленный вами файл, но и все другие файлы с таким же содержимым. Если содержимое изменится — файлы из списка пропадут.

Просматривайте и управляйте списком в одноименном разделе:

Была ли эта статья полезной?