3 июн. 2014 г.

Сканер вредоносного кода для вашего сайта

На сегодняшний день есть несколько специализированных сканеров для поиска вирусов и вредоносного кода на вашем хостинге. Для их сравнения был взят хостинг на VPS которой был взломан и заражен злоумышленниками и проверен доступными сканерами, что бы понять на сколько они эффективны в борьбе с бэкдорами, веб-шеллами и дорвеями.



Имеем

Взломанный сайт на Joomla 3.1.5, жалоба хостинга на рассылку спама. Полная резервная копия содержит 9728 файлов.

Задача

Просканировать сайт и оценить эффективность выбранных сканеров по нахождению вредоносного кода. Проанализировать потраченное на сканирование время.

Сканируем

Сканирование будет выполняться следующими инструментами:

ClamAv, Maldet и AI-Bolit запускались на VPS сервере под Debian, десктопные сканеры – под Windows 7. Производительность обеих систем для простоты будем считать одинаковой.


Результаты сканирования

СlamAv — общепризнанный серверный сканер, которым пользуются большинство хостингов, показал самый плохой результат в обнаружении вредоносного кода на сайте. Он нашел всего 16% загруженных на сайте вредоносов.

Приятно порадовали десктопные антивирусы и сканеры. Несмотря на то, что “Антивирус Касперского” не предназначен для сканирования сайтов, он неплохо справился с поиском шеллов и бэкдоров, обнаружив почти 60% вредоносов.

Чемпионом по обнаружению вредоносного кода стал AI-BOLIT, хотя он же и чемпион по ложным срабатываниям. Минус сканера — скорость, зато он обнаружил все существующие вредоносные скрипты и бэкдор-вставки в .php файлах.

Выводы

Самый надёжным решение, будет использование AI-BOLIT. Он обладает высокой степенью параноидальности и в отчет могут попадать и не вредоносные скрипты. Но в умелых руках это хороший инструмент для поиска вредоносного кода и лечения сайта после взлома, так как наиболее точно определяет вредоносы.