телефон для связи с 9:00 до 21:00
  1. Главная
  2. Блог
  3. FSCURE - инструмент для обнаружения и устранения вирусов на сайтах

FSCURE - инструмент для обнаружения и устранения вирусов на сайтах

Правда жизни такова, что взлом сайта – просто вопрос времени. По завершении успешной эксплуатации уязвимости хакер направляет свои усилия на закрепление за ресурсом. Это достигается путем размещения хакерских веб-шеллов и загрузчиков в системных директориях, а также внедрения бэкдоров в код скриптов и базу данных CMS.

FSCURE

Некоторые сканеры обладают набором эвристических правил, позволяющих обнаруживать файлы с подозрительным кодом, который часто используется во вредоносных скриптах, или файлы с подозрительными атрибутами, которые могут быть загружены хакерами.

Однако даже при использовании нескольких сканеров на хостинге существует вероятность, что некоторые хакерские скрипты могут остаться незамеченными. Это означает, что у злоумышленника сохраняется «черный ход», предоставляя ему возможность взлома сайта и получения полного контроля в любой момент.

Сканеры помогают выявлять загруженные веб-шеллы, бэкдоры, фишинговые страницы, спам-рассыльщики и другие виды вредоносных скриптов – все то, что известно и заранее добавлено в базу сигнатур вредоносного кода.

Как искать вредоносный код

FSCURE - это инструмент для обнаружения и удаления вирусов на ваших веб-сайтах. В этой статье представлены подробные инструкции по установке и использованию FSCURE. Этот мощный инструмент обеспечивает автоматическое обнаружение и устранение вирусов, поиск заданных строк в файлах, удаление подозрительных элементов и патчинг вредоносного кода при помощи регулярных выражений.

Пожалуйста, следуйте указаниям, чтобы эффективно использовать FSCURE для безопасности вашего веб-пространства. Помните, что перед началом работы рекомендуется создать резервную копию сайта, чтобы избежать потери данных.

СКАЧАТЬ СКРИПТ

Как использовать:

  1. Распакуйте архив в корневую папку вашего сайта.
  2. Перейдите по ссылке ваш_сайт/fscure/.
  3. Вот и всё!

Возможности:

  • Автоматическое обнаружение вирусов по сигнатурам.
  • Поиск заданной строки в файлах.
  • Удаление подозрительных файлов.
  • Патч вредоносного кода с использованием регулярных выражений.

Важно отметить, что скрипт не выполняет всю работу за вас и требует базовых знаний. Рекомендуется создать резервную копию сайта перед началом работы.

Принцип работы:

При первом запуске скрипт создает индекс файлов в файле fscure.lst в папке. Затем выводит список файлов, содержащих потенциально вредоносные сигнатуры. Понятие "потенциально вредоносные" означает, что решение о том, является ли файл вирусом, остается за вами. Список сигнатур настраивается в файле config.php, в константе SCAN_SIGN. При стандартных настройках скрипт не сканирует js-файлы и не включает их в список сигнатур.

Наиболее распространенные проблемы:

  1. Не создается индекс fscure.lst.

    2. Это может произойти из-за недостаточных прав. Установите права 777 на папку fscure.

  2. Ошибка 5xx, чаще всего "504 Gateway Time-out".

    3. В этом случае можно ускорить работу скрипта. Размер индекса указан в файле fscure.lst. Обычно файл размером до 5 Мб обрабатывается в 90% случаев. Если это не помогает, уменьшите "жадность" скрипта, запретив сканирование *.jpg;*.png;*.css в файле config.php.

    // разделитель ; define('FILES_EXCLUDE','*.js;*.jpg;*.png;*.css');

  3. Хостинг выдает предупреждение.

    4. {HEX}base64.inject.unclassed.6 : u56565656 : /var/www/u65656565/data/www/34535335353.ru/fscure/index.php

    В скрипте нет и не было никаких признаков вирусов. Ошибка {HEX}base64.inject.unclassed.6 представляет собой структуру вида "echo base64_decode(", которая часто встречается и, по существу, является безвредной.

Что именно искать при взломе

Хакерские скрипты
Чаще всего при взломе сайтов злоумышленники загружают файлы, представляющие собой веб-шеллы, бэкдоры, загрузчики (uploaders), скрипты для спам-рассылок, фишинговые страницы, а также обработчики форм, дорвеи и файлы-маркеры взлома, такие как изображения с логотипом хакерской группы, текстовые файлы с посланием от хакеров и подобное.
Инжекты (внедрение кода) в существующих файлах
Злоумышленники внедряют мобильные и поисковые редиректы в файлы .htaccess сайта, добавлять бэкдоры в php/perl скрипты, встраивают вирусные javascript фрагменты или устанавливают редиректы на сторонние ресурсы в .js и .html шаблонах. Инжекты также возможны в медиа-файлах, например, в изображениях формата .jpg.
Инжекты / инцицированные элементы в системных компонентах сервера

Если хакер получает привилегии root доступа к серверу, он может подменить элементы веб-сервера или кэширующего сервера на зараженные. Такой веб-сервер будет одновременно обеспечивать контроль над сервером с использованием управляющих команд и периодически встраивать динамические редиректы и вредоносный код на страницы сайта.

Администратор сайта вряд ли сможет обнаружить факт взлома, поскольку все файлы и база данных останутся в оригинальном состоянии.

Инжекты в базу данных

Здесь возможны статические вставки , , , , которые перенаправляют посетителей на сторонние ресурсы, “шпионят” за ними или заражают компьютер/мобильное устройство посетителя в результате drive-by атаки.

Кроме того, во многих современных CMS (IPB, vBulletin, modx и др.) шаблонизаторы позволяют исполнять php код, а сами шаблоны хранятся в базе данных, поэтому php код веб-шеллов и бэкдоров может быть встроен непосредственно в БД.

Инжекты в кэширующих сервисах

В случае неправильной настройки кэширующих сервисов, таких как memcached, существует риск инъекций в закэшированные данные «на лету». Некорректная конфигурация может предоставить хакеру возможность внедрять вредоносный код на страницы сайта, обходя прямой взлом.

Это подчеркивает важность тщательной настройки и мониторинга кэширования для обеспечения безопасности веб-сайта.

Вредоносный JavaScript

Использование средств, предоставляемых самими браузерами, является важным элементом защиты. Однако, несмотря на надежность браузерной защиты от JavaScript, добавление фильтрующего кода к HTML-страницам сайта, вероятно, также играет важную роль.

Тем не менее, важно подчеркнуть, что наличие браузерной защиты не освобождает от необходимости использовать серверные фильтры.

Если вам не удалось обнаружить вирус самостоятельно

Если вам не удалось обнаружить вирус самостоятельно, не стесняйтесь обращаться за помощью в МастерСтудию. Наши расценки доступны: посмотрите стоимость обслуживания сайтов и работы, которые в нее входят. В случае наличия нескольких сайтов на аккаунте, цена будет рассчитана индивидуально. Доверьте нам заботу о безопасности ваших онлайн-пространств.