Вирусы в Интернете
От автора:
Эта статья для тех, кто может отличить сайт от сервера, и знает, что такое хостинг.
Если у вас нет
проблем, купите себе компьютер. Эта шутка очень актуальна именно
сейчас, когда владельцы компьютеров буквально стонут под гнетом
вредоносных программ.
Причем что
интересно, сами вирусы вроде как существуют, специализированные
программы типа «антивирус» их успешно находят, и даже иногда
нейтрализуют, с последствиями деятельности вредоносного
кода как бы успешно боремся… Но никто толком не представляет чем все
это грозит и стоит ли вообще игра свеч. Надо ли вкладывать деньги в
покупку хорошей антивирусной программы, использовать компьютерное
время для анализа диска, терять силы и нервы оттого, что тот или
иной вирус не хочет удаляться, или все же проще не обращать внимания
на все эти угрозы, атаки и вторжения?
На этот вопрос
каждый отвечает сам для себя. Некоторые опробывают новые версии
программ, кто-то старается не вдаваться в подробности, полагаясь на
авось, а кто-то и рад сложившемуся положению дел – ведь это хороший
кусок хлеба с маслом!
И если в
персональном секторе все более-менее ясно, установил
программу-антивирус и знай себе обновляй ее через Интернет, то есть
одна скользкая область, понятная только специалисту в области
размещения сайтов в сети Интернет. Речь пойдет о вирусах, поражающих
сайты.
Давайте
представим себе ситуацию, что человек захотел создать свой
собственный сайт. По нынешним временам это совсем не сложно, вся
необходимая информация вполне доступна как для совершенно
начинающих, так и для профессионалов смежных областей. Итак, как
правило, первое время новоиспеченный сайт располагается на
бесплатных сервисах, которые взамен размещают свою рекламу, но рано
или поздно наступает момент, когда автор решает, что коммерческий
хостинг не только более выгоден, но и необходим, так как позволяет,
к примеру, иметь свое собственное доменное имя.
И вот наш
начинающий автор сайтов находит в себе силы отдать некоторую сумму
денег за короткое имя и хостинг, получает на определенный период
времени кусочек удаленного компьютера в свое распоряжение, переносит
свой сайт на новое место… И буквально совсем скоро обнаруживает, что
при заходе на него начинает срабатывать антивирус, к примеру тот же
«касперский».
Что это? Несомненно, сайт оказался зараженным вредоносным
кодом, который собственно ничего сильно плохого и не делает, всего
лишь перенаправляет запрос браузера на другой сайт, «накручивая»
его, или увеличивая рейтинг (другие деструктивные функции тоже
возможны, вариантов масса). Но факт налицо! Сайт заражен, и простой
посетитель будет кого винить? Правильно – автора и владельца
посещаемого ресурса. Но давайте разберемся, что и почему происходит
и главное – как же с этим бороться?
Начинается все по-новому – сайт закачивается на хостинг
заново, все отлично работает… До поры до времени, через некоторое
время ситуация повторяется, но и рецепт нам уже знаком – залить сайт
заново! Где-то между десятым и двадцатым разом приходит идея найти
программку, которая будет это делать регулярно самостоятельно, так
как делать это надо все чаще и чаще. И все бы ничего, да только
сайтов может быть не один, как говаривал Весельчак У, а два, и три,
и даже гораздо больше одновременно у одного человека.
Ладно. Начинаем исследовать корни проблемы. То есть
исходный код зараженного сайта. И оказывается, что он, этот самый
исходный код несанкционированно модифицирован. В конце (реже – в
начале) его есть маленькая приписка, часто ограниченная
комментариями, благодаря которой и происходит вызов удаленного
вредоносного сайта. Ага, разобрались, всего-то делов – удалить этот
код везде, где только можно. Сделано…
Никакого результата. Ладно, ищем дальше – сканируем
собственный компьютер на предмет вирусов, троянов и т.д. разными
программами. Кое-что действительно может найтись, но вообще-то не
совсем то. Значит не у нас. Или у нас?
Начинаем рассуждать – а как вирус может получить доступ к
удаленному серверу? Да просто – по тому же протоколу FTP, что и мы
закачиваем туда файлы! Так, уже горячее. Начинаем прикидывать, кто
же тут может быть виноват – да, желательно поставить посложнее
пароль на
FTP, надо
отказаться от хранения паролей в «Total Commander»-е вообще, так как
его база паролей несовершенна и легко подвержена взлому, особенно до
версии 7.02. Делаем… На какое-то время помогает, но все же в один
ужасный момент вирус снова оказывается на сайте.
Стоп. Может, ни с того конца заходим? А что, если
виноваты-то и не мы, что если вирусы проникают на сайт через хостера,
через его компьютер? Не лишенная здравого смысла идея. Пишем в
службу поддержки…
Ну вот скажите мне, ну какой же хостер признается вам, что
он бессилен против атаки вирусов и что сайты заражаются по его вине.
Ответ – никакой. Служба поддержки уверяет, что у них нет проблем, и
все это происки врагов, то есть самих пользователей, их безалаберное
отношение к паролям на доступ и т.д. А вирусы откуда? Да все оттуда
же – уворовывают пароль на FTP, получают доступ и привет. И никакие
уверения в кристальной чистоте личного компьютера их не убедят.
Ну, может быть и так, однако неприятный осадок в душе
остается, что-то тут ни так. Ладно, ведь есть еще один способ. Очень
простой. Меняем пароль, заливаем сайт заново… и снимаем в атрибутах,
закачанных на сервер файлов галочку, разрешающую запись в файл.
Просто и эффективно. Пароль забываем
J
или прячем подальше – в ту или иную программу, умеющую шифровать
данные сильным алгоритмом. Ждем… Неделя, две, месяц… Все ок!!!
Да, действительно, таким образом удается избежать проблем с
заражением сайта вредоносным кодом. Можно менять атрибут не у всех
файлов, а только у файла Index – именно он оказывается зараженным
всегда, так как отвечает за старт сайта по умолчанию. Но думаю, это
только до тех пор, пока вирусы не научатся прежде чем произвести
запись в файл, сменить эти самые атрибуты.
Так с ходу можно придумать еще несколько вариантов защиты.
Можно средствами сервера изменить имя автостартующего файла с
«index» на что-то другое, тогда возможно вирус, не найдя корневого
загрузочного файла не будет трогать другие. Еще – все же написать
программку, которая будет отслеживать размер, к примеру, файла
«index» и в случае если он необоснованно изменится – извещать
администратора по почте, а еще лучше – тут же восстанавливать
архивную копию. Минус такого подхода в том, что при
санкционированном изменении придется пересчитывать новый размер
файла «index» и перезаписывать новый размер для контроля в такую
программу. Хотя ведь никто не мешает в файле «index» оставить только
программу проверки и вызов другого файла с другим именем.
Но это тоже до поры до времени, пока вирусы (точнее их
создатели) не поймут, что можно обращать внимание не только на «index»-файлы,
но и на другие. Мы умные, да и они же не дураки! Вот тут все
усложнится, и без алгоритма с хранением правильных размеров всех
файлов на сервере уже не обойтись. Нет, ну вот хочешь не хочешь, а
приходится простому человеку постигать азы программирования. Ведь
надо загнать размеры всех файлов в ту, или иную базу данных,
ежеминутно (или как-то по другому) вызывать специальную программу,
которая просканирует все файлы на сервере и если будут замечены
какие-то изменения, восстановит прежний их вид.
А какой кошмар нас ждет, если вирус научится не просто
вставлять себя в тело исходного кода, но и не изменять при этом
размер файла, ужимая его теми или иными методами (к примеру, за счет
удаления необязательных пробелов, кавычек, переводов строк и т.д.)!
А ведь такое уже существует в мире – обычные компьютерные вирусы так
уже делают. Значит, и это не панацея.
Так в чем же она? Мне кажется – в комплексе мер. Первое –
сложный, нигде не хранимый пароль на FTP. Второе – хорошая
антивирусная программа на компьютере источнике. И главное!
Дружественный хостинг (его служба поддержки), готовый оказать помочь
и разобраться в проблемах клиента, а не бросать его на произвол
судьбы.
Андрей
Кухарчик
admin@virtualbrest.com
https://virtualbrest.ru
Skype: Virtualbrest
13.12.2007
разрешена свободная публикация материала
без сокращений и с указанием данных автора
