Продолжаем переводить для вас полезное видео из официального аккаунта Google на YouTube. Сегодня Майли Оуйэ и Лукас Бэллард расскажут о том, что делать, если ваш сайт взломали. Вы можете посмотреть оригинальное видео или прочитать наш перевод ниже.
Майли: Здравствуйте, я Майли Оуйэ. Продолжаем нашу серию программ о восстановлении взломанных сайтов. Сегодня мы поговорим об оценке ущерба. Это видео предназначено для тех, кто получил сообщение, что их сайт заражен вредоносным кодом, и у кого достаточно технических знаний, чтобы просматривать исходный код и запускать команды в терминале.
Лукас Бэллард, инженер из команды безопасного поиска Google, поможет нам и поделится своими знаниями по борьбе с вредоносным ПО.
Лукас: Привет, Майли.
Майли: Спасибо, что предложили помочь.
К настоящему времени мы рассмотрели в общих чертах взлом сайтов. Допустим, мы убедились, что на наш сайт занесена вредоносная программа. Теперь мы готовы определить размеры ущерба. Но прежде чем мы продолжим, можете объяснить, что такое «вредоносное ПО»?
Лукас: Конечно. «Вредоносное ПО» — это общий термин, объединяющий вредоносные программы, призванные навредить компьютеру или сети. Сюда входят вирусы, «черви», трояны, программы-шпионы и программы для перехвата вводимой с клавиатуры информации.
Для защиты всех в сети от вредоносных программ команда безопасного поиска Google использует сканирующие программы, работающие в масштабах всего интернета, чтобы находить «вредные» страницы. Наши автоматические сканеры определяют, имеется ли на странице вредоносный контент. Репутация вебмастера при этом не принимается во внимание
Если ваш сайт поражен вредоносным кодом, вы не одиноки. Мы находим около 10 000 новых сайтов с вредоносным ПО ежедневно.
Майли: Полезная информация. Можете также дать пример того, что значит для сайта заражение вредоносным ПО?
Лукас: Разумеется. Если «хороший» сайт помечается как «зараженный вредоносным ПО», значит, Google решил, что когда пользователь переходит на этот сайт, браузер автоматически откроет другой сайт, который причинит браузеру вред. Обычно браузер переходит на этот вредоносный сайт, потому что в «хороший» сайт или и какие-то его ресурсы внесены изменения, включающие контент с вредоносного сайта.
Мы предупреждаем пользователей о вредоносном ПО, потому что когда пользователь посещает зараженную страницу, контент с вредоносного сайта пытается найти уязвимость в его браузере. Если у него это получается, вредоносное программное обеспечение автоматически попадает на компьютер пользователя без его ведома. Это вредоносное программное обеспечение может быть шпионящей программой, которая собирает банковские данные пользователя; или это может быть программа, использующая зараженный компьютер для рассылки спама.
Если компьютер пользователя поражен вредоносным ПО, он становится еще одной ячейкой вредоносной хакерской сети, которая может использоваться для атак на другие компьютеры или сайты.
Майли: Из вашего примера ясно, что вредоносное ПО распространяется как инфекционное заболевание. Объясните, пожалуйста, как владельцам сайтов понять, заражен ли их сайт вредоносным кодом или заражает других.
Лукас: Команда безопасного поиска Google выкладывает эти данные в открытый доступ для всех пользователей, как для зарегистрированных владельцев сайтов, так и для всех остальных. Давайте воспользуемся нашим ноутбуком и перейдем на страницу диагностики безопасного просмотра Google: www.google.com/safebrowsing/diagnostic?site= и адрес вашего сайта. Например, я введу googleonlinesecurity.blogspot.com.
Здесь вы можете посмотреть текущее состояние вашего сайта в плане безопасности пользователей. Моя команда работает со сканерами, которые отвечают за формирование этих данных. К счастью, наш блог безопасен. Но давайте рассмотрим сайт, зараженный вредоносным ПО, чтобы узнать, с чем вы можете столкнуться.
На странице диагностики безопасного просмотра отображается ваше текущее состояние. То есть, безопасен ли ваш сайт, или он внесен в список подозрительных и опасен для пользователей. Сайты, пораженные вредоносным ПО, разумеется, внесены в список подозрительных. Ниже, в пункте «Что произошло во время последнего посещения этого сайта компанией Google?» , показана более подробная информация. Например, какие вредоносные сайты доступны с вашего сайта, а также информация о таких вредоносных сайтах. Повторю, что «вредные» сайты используются для хранения вредоносного программного обеспечения, чтобы заражать им компьютеры пользователей. Здесь вы можете посмотреть, не включен ли ваш сайт во вредоносную сеть. Если кликнуть на ссылку, ведущую на вредоносный сайт или сеть, можно получить более подробную информацию системы безопасного просмотра.
Последний пункт на этой странице показывает, размещалось ли на вашем сайте вредоносное ПО, то есть, использовался ли ваш сайт как посредник для заражения других сайтов или хранения вредоносного ПО.
Майли: Спасибо, Лукас. Теперь мы понимаем, что такое вредоносное ПО. Можете объяснить, как можно безопасно проанализировать ущерб, нанесенный нашему сайту?
Лукас: Хороший вопрос. Прежде чем просматривать страницы, удалять файлы или вносить еще какие-то изменения в сайт, проанализируйте вредоносное ПО. Вот несколько советов. Первое: не открывайте зараженные страницы с помощью своего браузера. Как уже было сказано, вредоносное ПО часто распространяется через уязвимости в браузерах. Открывать зараженную страницу в своем браузере значит напрашиваться на неприятности.
Второе: для анализа вредоносного кода очень полезно, если у вас есть доступ к серверу, потому что некоторые вредоносные программы составлены таким образом, что отображаются в зависимости от пользовательского агента, cookie-файлов, ссылающегося домена, времени суток или версии браузера. Лучше всего посмотреть исходный код страницы, чтобы понять его содержимое и работу.
Третье: есть несколько полезных инструментов для диагностики HTTP-запросов в целях оценки ущерба, нанесенного сайту. Хакеры часто меняют структуру редиректов с «хороших» сайтов, чтобы организовать атаки на другие сайты. Поэтому простого просмотра исходного кода может быть недостаточно для обнаружения редиректов. Вам потребуется вызвать страницу. Два полезных и чаще всего бесплатных инструмента — Wget и cURL. Обе эти программы выполняют HTTP-запрос, и их можно настроить на использование Refer, пользовательского агента или данных браузера. Эти функции полезны для выявления некоторых сложных методов, которые хакеры используют, чтобы их не обнаружили.
Например, хакер может изменить сайт так, чтобы он перенаправлял пользователей на вредоносный контент только в том случае, когда URL запрашивается со страницы поисковой выдачи. То есть, если юзер воспользовался поиском на google.com, его запрос будет содержать реферер Google. Показывая вредоносный контент только пользователям с реферером Google, хакер делает своей мишенью больше реальных людей и одновременно затрудняет обнаружение кода вебмастерами и сканерами. Введете в поиск Wget и cURL, чтобы получить более подробную информацию об их использовании.
Майли: Резюмирую сказанное. Во-первых, при анализе вредоносного ПО на сайте не открывайте страницу в своем браузере. Во-вторых, просмотрите исходный код страницы в файловой системе. И в-третьих, ищите редиректы и проверяйте исходный код с помощью Wget или cURL.
Лукас: Итак, мы уже посетили страницу диагностики безопасного просмотра и в общих чертах разобрались в том, как вредоносное ПО воздействует на сайт. Теперь перейдем в Google Webmaster Tools, в раздел вредоносного ПО.
Майли: Будучи зарегистрированным владельцем сайта, я авторизуюсь в Webmaster Tools. Выбираю мой сайт. Пункт «Diagnostics», затем «Malware». Лукас, не могли бы вы рассказать нам подробнее о том, какую информацию сюда выкладывает ваша команда?
Лукас: Конечно. Вверху страницы «Malware» есть две кнопки: «Download Table» и «Request a Review». Кнопка «Request a Review» понадобится вам, когда ваш сайт будет очищен от вредоносного ПО. Но перед этим нам придется оценить полученный ущерб. В таблице на этой странице показаны примеры зараженных URL вашего сайта, тип вирусов, найденных нашими сканерами, а также последняя дата, когда они были обнаружены.
Кликнув на URL, вы попадете на страницу «Malware Details» с разными опциями. Для некоторых URL тип вируса не указан. Это значит, хотя наши сканеры обнаружили, что этот URL заражен вредоносным ПО, мы не смогли определить конкретный вид и функции этого ПО.
В остальных случаях указывается тот или иной тип вируса, о каждом из которых я подробнее расскажу в отдельном видео.
После того как вы проанализировали каждый образец URL в Webmaster Tools, последнее, что вам нужно сделать на данном этапе — более общая оценка степени поражения вашего сайта.
Майли: Последнее видео, которое вам следует посмотреть на данном этапе, называется «Оценка ущерба в файловой системе». Оно поможет вам составить список файлов, которые были изменены или добавлены злоумышленниками, и провести необходимую чистку.
Спасибо, Лукас. Чтобы справиться с любым видом вредоносного ПО на вашем сайте, смотрите видеоролики Лукаса на такие темы как конфигурация сервера, внедрение SQL и шаблон ошибки. После того как вы проанализировали ущерб, нанесенный вашему сайту вредоносными программами, проведите общий анализ файловой системы. После этого переходите к следующему шагу: выявление уязвимостей. Мы уже приближаемся к мерам по восстановлению. Так держать!