В данной статье я поговорюоб ухищрения, на которые идут злоумышленники, чтобы скрыть вредоносные участки кода или усыпить бдительность вебмастеров, сохраняя при этом работоспособность сайтов.

Сначала поговорим о файлах-вирусах, которые можно без проблем удалять. Очень часто шеллы маскируются под системные файлы и имеют названия, на одну букву отличающиеся от оригинала, либо же стандартные названия часто используемых файлов аля config.php, index.php, settings.php и тому  подобные. Опытный глаз легко определит подозрительные файлы, которые не вписываются в иерархию системы, к примеру файлы wp-config (с закосами под вордпресс) на сайте с CMS Joomla сразу наводят на мысль о вирусе.

Не менее редко бывают раскиданы файлы с вредоносным кодом с набором букв в имени по весьма различным папкам. Однако обычный прогон антивирусов позволит выявить их и удалить вирусы с сайта.

Когда злоумышленники получают доступ к админке сайта, то они устанавливают модули с вредоносным кодом, и вирус в итоге проникает на сайт. Поэтому при появлении подозрительных модулей, которые не были инсталлированы вами, стоит незамедлительно задуматься о защите сайта.

 Поговорим теперь о вирусных вставках. Тут действуют различные ухищрения и хитрости. При массовом заражении файлов обычно используется один и тот же код, который приписывается в начало или конец js файлов, с привязкой к тегам (до или после) <html> <head> или <body> и в произвольных местах индексных и других стандартных файлах шаблонов. С другой стороны, удаление вредоносного кода легко делается массовой заменой по всем файлам.

А теперь возьмём ситуацию, когда антивирус определяет файл как троян, однако открыв его сходу нету признаков вирусов. Всё потому, что участки кода прячутся далеко в конце файла, надо воспользоваться прокруткой вниз или вправо. Полезно будет выставить в текстовом редакторе отображение не по строкам, а по ширине экрана.

Ну и напоследок рассмотрим случай, когда у нас на сайте появился редирект или ссылка на вирусный сайт. Мы пытаемся пройтись поиском по всем файлам, однако результат не находится. Это потому, что злоумышленники используют обфускацию кода - код намеренно шифруется и запутывается, чтобы сложно было воспроизвести исходный код. Тут необходимо искать по известным функциям как eval, base64_decode, gzinflate, unescape и прочие.

Однако на данный момент это лишь простые примеры, в реальности используются более сложные методы спрятать код. Мы можем не найти функцию base64_decode, потому что и её можно зашифровать. Как это работает? Разобьем строку на несколько частей, и каждой переменной присвоим одну часть. А затем сделаем вызов всей сложенной строки: получим нашу зашифрованную функцию. Такой метод используют большинство современных вредоносных скриптов.

Поэтому для достойной защиты сайта необходимо использовать эвристический анализ файлов, ну и конечно не пренебрегать советами безопасности.

Добавить комментарий