Здесь я попытаюсь собрать и рассказать о часто встречающихся терминах в веб-безопасности.
Очень часто можно услышать фразу "вирус проник через шелл на сайте". Дадим определение данному понятию: шелл ( он же от английского слова shell) - это своеобразная программа или скрипт, которые позволят злоумышленникам получить доступ к редактированию сайта без доступа к базе данных. Наиболее часто в функционал шелла входит файловый менеджер, в котором будет присутствовать изменение прав, создание, редактирование и удаление файлов и папок, редактор базы данных (обычно для скачивания дампа), информация о сервере (оно же phpinfo), дополнительные инструменты, которые помогут массово заразить файлы и прописать рекламные или вредоносные участки кода в большое количество файлов. Известными примерами таких программ являются WSO, FilesMan и другие.
Шеллы бывают и небольшими по размеру, могут состоять из пары строк кода. Самый простой пример, это при передаче определенного GET или POST запроса появляется доступ к запуску любого код. Пример такого рода:
<?php if(isset($_POST["MyShell"])){eval(base64_decode($_POST["RunShell"]));} ?>
Здесь MyShell это переменная запуска, RunShell запускаемый код, который перед этим должен быть сжат и зашифрован посредством команды base64_encode.
Теперь познакомимся с ещё одним понятием - обфускацией кода. Это всевозможное видоизменение кода до нечитабельного вида с целью запутать неопытного пользователя об истинном предназначении. Пожалуй, об этих методах я расскажу в отдельной статье.
Следующей разновидностью вирусов будут дорвеи, я бы отнес их к разновидности поискового спама. Когда сео-оптимизаторы замечают резкую просадку по позициям и появление в поиске множества сторонних страниц и ключевых фраз становится очевидным - на сайте завелся дорвей. Его цель перенаправлять траффик по определенным условиям. Частенько это бывает отдельная папка с несколькими тысячами страниц, которые ждут индексации поисковиками. С другой стороны дорвеи намного проще вычислять и удалять, достаточно бывает удалить папку. Не забывайте только, что при этом надо найти главную причину попадания вирусов, и удаление дорвеев не гарантирует дальнейшее не попадание вирусов на сайт.
Если мы коснулись разновидностей вирусов на сайтах, то перейдем к Javascript троянам. Большинство из них любят вредительствовать через iframe, поэтому у многих из них присутствует классификация JS/IFrame, Mal/Iframe, Mal/JSRedir, Mal/ObfJS, Troj/Iframe, Troj/JSRedir и другие варианты. Более легкие варианты прописываются во все JS файлы на сервере вначале или конце тегов <head> и <body>. Более сложные варианты генерируются из исполняемых файлов, подгружаются со сторонних серверов и на выходе дают результат в html, который сбивает с толку вебмастеров, не владеющих основами безопасности.
Поговорим теперь о бекдорах на сайте (backdoor). Это также исполняемые программы, которые позволяют получить доступ к файлам на сервере, управлять данными сайта, в принципе понятие шелла и бекдора равнозначно. В моей практике однако чаще подразумевались так называемые оставленные закладки на сайте фрилансерами, одни с целью дальнейшего использования активов сайта в своих целях, другие - в целях защиты от кидалова заказчика.
Ещё к одной разновидности взлома сайта можно отнести дефейс (англ. deface). Такого рода атаками обычно любят хвастаться хакеры, показывая, что на сайте присутствуют уязвимости и им не составило труда взломать сайт. В итоге содержимое сайта подвергается удалению либо блокировке, а на главной заменяется текст на "Взломано тем-то". Хотя как частный случай это может быть любая замена информации на сайте с целью компрометации.
На этом я заканчиваю классификацию вирусов на сайте, однако для полноты всех определений безопасности советую ознакомиться со статьей "Описание распространненых уязвимостей"