Как искать вредоносный код на сайте?

Вредоносный код может значительно угрожать безопасности вашего веб-сайта. Он может привести к утечке данных, компрометации пользовательской информации и потере доверия со стороны клиентов. Поэтому крайне важно знать, как найти и удалить такие угрозы, чтобы защитить свой сайт и пользователей. Для поиска вредоносного кода в файлах и базе сайта существуют различные антивирусы и сканеры.

1. Используйте антивирусные сканеры: Существуют различные онлайн-сервисы и программное обеспечение, которые могут сканировать ваш сайт на наличие вредоносного кода. Инструменты, такие как Sucuri SiteCheck, могут быстро обнаружить известные угрозы и уязвимости. Эти решения помогут вам идентифицировать злонамеренные изменения в файлах вашего сайта.

Популярные это AI-BOLIT, MalDet (Linux Malware Detector) и ClamAv. Сканеры помогут обнаружить Backdoor, Shells, спам-рассыльщики, фишинговые страницы и другие типы вредоносных скриптов которые есть у них в базе и им известны. Но они не всегда могут обнаружить вредоносные скрипты. 

2. Проверьте исходный код: Откройте исходный код вашего сайта и ищите странные или подозрительные фрагменты кода. Это могут быть скрипты, которые вы не добавляли, или ссылки на сторонние ресурсы.

Обратите внимание на изменения в файлах, таких как `index.php`, `wp-config.php` или других ключевых файлах вашего сайта.

3. Мониторинг серверных журналов: Анализируйте журналы вашего веб-сервера, чтобы выявить подозрительную активность. Обратите внимание на необычные запросы или ошибки, которые могут указывать на попытки взлома. Это поможет вам понять, как злоумышленники могли получить доступ к вашему сайту.

Современные вредоносные и хакерские скрипты значительно отличаются. Их комбинируют обфускацию, шифрование, декомпозицию, внешнюю подгрузку вредоносного кода чтобы обманывать антивирусное ПО. 

Поэтому искать нужно не только используя программное обеспечение но и в ручную. Если у вас есть (root) доступ к серверу можно воспользоваться командами в unix. Более эффективная из них это это find / grep.

Для анализа файлов на сервере.

Найдет все файлы, которые были изменены за последнюю неделю. Но хакеры могут скрутить дату изменения у скриптов, чтобы не вызвать подозрение. Тогда можно поискать файлы php/phtml, у которых менялись атрибуты.

Если нужно найти изменения в временном интервале, можно воспользоваться find. 

Для поиска в файлах незаменим grep. Он может искать рекурсивно по файлам указанный фрагмент.

При взломе сервера полезно проанализировать файлы, у которых установлен guid/suid флаг.

Чтобы определить, какие скрипты запущены в данный момент и грузят CPU сервера, можно вызвать.

Для анализа файлов на хостинге:

Проверяем директории upload, cache, tmp, backup, log, images, в которые что-то пишется скриптами или загружается пользователями, и просматриваем содержимое на наличие новых файлов с подозрительными расширениями.

Например: для Joomla можно проверить .php файлы в каталоге images:find ./images -name ‘*.ph*’Скорее всего, если что-то найдется, то это будет вредоносный скрипт. Для WordPress проверить на скрипты директорию wp-content/uploads, backup и cache каталоги тем.

Нужно обратить внимание на файлы со странными именами.

Например: php, fyi.php, n2fd2.php. Файлы можно искать по нестандартным сочетаниям символов иналичию цифр 3,4,5,6,7,8,9 в именах файлов.

Ищем файлы с расширениями .py, .pl, .cgi, .so, .c, .phtml, .php3.Если такие скрипты и файлы обнаруживаются, скорее всего, это будут хакерские скрипты.

Ищем файлы с нестандартными атрибутами или датой создания. Подозрения могут вызывать файлы с атрибутами, отличающимися от существующих на сервере. Например, все .php скрипты были загружены по ftp/sftp и имеют пользователя user, а некоторые созданы пользователем www-data. Имеет смысл проверить последние. Или если дата создания файла скрипта раньше даты создания сайта. Для ускорения поиска файлов с подозрительными атрибутами удобно пользоваться unix командой find.

Ищем дорвеи по большому количеству файлов файлов .html или .phpЕсли в каталоге несколько тысяч файлов .php или .html, скорее всего это дорвей.

Логи сервера, почтового сервиса и FTP можно использовать для обнаружения вредоносных и хакерских скриптов.

Корреляция даты и времени отправки письма (которые можно узнать из лога почтового сервера или служебного заголовка спам-письма) с запросами из access_log помогают выявить способ рассылки спама или найти скрипт спам рассыльщика.

Анализ лога FTP xferlog позволяет понять, какие файлы были загружены в момент взлома, какие изменены и кем.

В правильно настроенном логе почтового сервера или в служебном заголовке спам письма при правильной настройке PHP будет имя или полный путь до скрипта отправителя, что помогает определять источник спама.

4. Используйте плагины безопасности: Если ваш сайт построен на платформе, такой как WordPress, используйте плагины для автоматического мониторинга безопасности. Популярные плагины, такие как Wordfence или iThemes Security, могут выполнять регулярные проверки и предупреждать вас о любых аномалиях.

По логам защиты современных CMS и плагинов можно определять, какие атаки были выполнены на сайт и сумела ли CMS им противостоять.

По access_log и error_log можно анализировать действия хакера, если известны имена скриптов, которые он вызывал, IP адрес или User Agent. В крайнем случае можно просмотреть POST запросы в день взлома и заражения сайта. Часто анализ позволяет найти другие хакерские скрипты, которые были загружены или уже находились на сервере в момент взлома.

5. Сравнение файлов: Если у вас есть резервные копии сайта, сравните текущие файлы с предыдущими версиями. Это позволит обнаружить изменения, которые могли произойти без вашего ведома. В случае нахождения изменений, вам следует выяснить причину и удалить вредоносные фрагменты.

6. Обновление программного обеспечения Убедитесь, что все программное обеспечение, плагины и темы вашего сайта обновлены. Устаревшие версии могут содержать уязвимости, которые позволяют злоумышленникам внедрять вредоносный код. 

Поиск и удаление вредоносного кода на сайте — это не разовая задача, а постоянный процесс. Регулярная проверка и использование средств безопасности помогут сохранить ваш сайт и данные пользователей в безопасности. Использование ручного проверки делает процесс более качественным и эффективным.