15.07.2015 11:07
gornal 19 10179 Источник


Содержательная часть поста очень короткая и почти совпадает с заголовком: да, действительно, с недавнего времени Рейтинг Mail.Ru проверяет установившие счетчик сайты на вирусы и при возникновении подозрений предупреждает письмом веб-мастера. Свой антивирус мы не писали, а использовали технологию наших партнеров. Но кроме этого краткого анонса, есть ещё два интересных вопроса, которые хотелось бы осветить чуть подробнее. Это вопросы «зачем?» и «как?».

Начнем с «зачем». Как смешно и парадоксально это ни звучит, но в 2015 году вирусы на сайтах всё ещё существуют. Да, действительно, на крупных проектах масштаба Mail.Ru или Amazon срабатывание антивируса, скорее всего, означает false positive на какой-нибудь особенно хитрый рекламный или аналитический код. Последний из пришедших мне в голову случай червя на большом проекте относится, оказывается, аж к 2007 году (как вчера было…). Вряд ли он действительно последний, но по сравнению со случающимися чуть ли не раз в месяц громкими утечками паролей — разница огромная.

С малыми сайтами совсем другая картина. С точки зрения защиты от распространения вирусов, они застыли в далеком прошлом. Установленные из непроверенных источников компоненты и пароль «123456» к админке по-прежнему встречаются непозволительно часто, а установившие их веб-мастеры по-прежнему считают, что всё в порядке. Конкретные цифры мы узнали уже после запуска проверки, но большой неожиданностью они не стали: из примерно миллиона сайтов наших клиентов заражены оказались более 11 тысяч. И их, конечно, надо об этом предупредить. Сказано — сделано, и тут мы плавно переходим к вопросу «как».

Можно было либо делать все самим, либо найти компанию, у которой есть нужное нам решение. Понимая, что диагностика сайтов — задача достаточно специфическая и для нас не профильная, мы склонились ко второму варианту: решили найти подходящую компанию. Как оказалось, по сумме характеристик оптимальным для нас вариантом оказался относительно молодой российский сервис «Вирусдай» (virusdie.ru). Это облачный антивирус и фаервол, который, помимо прочего, обнаруживает вирусы на сайтах и предотвращает повторные заражения. На тестовых выборках их результаты были не хуже именитых конкурентов, при этом отсутствовали технические ограничения по производительности (а нам предстояло работать с миллионами сайтов) и, что немаловажно, с ними было легко договориться.

Создание нового сервиса


Как для нас, так и для «Вирусдай» подобного рода сотрудничество было первым, так что программировать пришлось на обеих сторонах. Ранее их код всегда внедрялся на стороне клиента. Теперь они подняли отдельное API для внешней проверки сайтов, а мы добавляем и удаляем из него URL'ы. Антивирусный бот обходит свою базу раз в сутки. На основании проверки он генерирует отчёт, в котором содержится:

  • список обнаруженных заражений;
  • список подозрительных активностей и файлов;
  • информация о том, находится ли проверенный сайт в каких-либо чёрных списках (в рамках программ SafeBrowsing).

Также раз в сутки мы рассылаем оповещения новым «заболевшим». Кроме того, немедленная проверка происходит и при добавлении нового сайта в Рейтинг.


Инновационная архитектура нашего взаимодействия.

Результат


Итак, теперь у нас в Рейтинге Mail.Ru появился новый раздел «безопасность сайта», в котором приводится результат проверки сайта сервисом «Вирусдай» с подробным описанием вынесенных вердиктов и рекомендаций. Кроме того, мы дополнительно извещаем наших пользователей о появившихся угрозах на их сайтах, направляя им электронные письма.



Проверка всех сайтов проводится раз в сутки, и каждый наш пользователь теперь получает актуальную информацию о состоянии безопасности своего сайта. Согласно нашей статистике, чаще всего встречаются вредоносные редиректы и несанкционированные рекламные блоки (в сумме около 40% случаев). Топ 10 выглядит следующим образом:


Ни одна компания, специализирующаяся на антивирусной защите, не может гарантировать 100% или даже 99% надежность предложенного сервиса. Тем не менее, жалобы на ложное обнаружение вирусов в данный момент единичны. Количество пропущенных угроз мы оценить не готовы, но каким бы оно ни было, вирусов в Рунете всё же стало меньше — уже как минимум 1000 сайтов были очищены благодаря внедрению этого сервиса.

И вместо заключения — несколько слов о нашем партнере, компании «Вирусдай», рассказывают они сами:
Концепция сервиса «Вирусдай» достаточно проста: он позволяет устранить вредоносный код (вирусы, шеллы и т.д.) на сайтах в автоматическом режиме и при этом не нарушить работоспособность веб-ресурса. Также мы предоставляем фаервол для защиты сайта, который устанавливается автоматически и не требует никакой настройки. К сервису можно подключить неограниченное число сайтов и управлять всеми инструментами непосредственно через личный кабинет. «Вирусдай» очень прост в использовании и предназначен не только для веб-мастеров, но и для владельцев сайтов, не обладающих специальными знаниями или навыками.

Комментарии (19)


  1. denis_g
    15.07.2015 14:22
    #8500129
    +35

    Новый антивирус умеет удалять вредоносные утилиты от Mail.Ru?


    1. InstaRobot
      15.07.2015 22:31
      #8501239
      -3

      То есть, если я правильно понял, у меня наконец Eset Cyber Cerurity Pro перестанет блокировать попытки подсунуть Амиго вместо Сафари и сменить поиск Google на Mail.ru? Это не шутка, кстати! Смешно лишь до определенного момента!


      1. tegArt
        15.07.2015 23:30
        #8501363
        -1

        Да если умудришься мэйл агент с гвардом и амиго себе на сайт установить — VD не только вылечит, но и премию выпишет… читайте текст, чтобы хоть в тему шутить, прежде чем «смешными» комментами «лойсы» собирать.


      1. InstaRobot
        16.07.2015 15:02
        #8502375

        Эх, как разобидились то). Ну ничего, «лойсы» говорите? Пусть так, но отрицать очевидные вещи глупо! И не нужно делать вид, что событие не имеет место быть! Или вы хотите сказать, что скрипты в архивах, которые пробуют инициировать установку сих вещей, распространяются без вашего ведома? Конечно, компания у вас большая, у меня легко может быть и -2000 на рейтинге. Товарищ в самом верхнем комментарии, ведь не пошутил и количество "+" говорит само за себя! Вот как пересечемся на каком-нить форуме разработчиков с представителем вашей компании, обязательно задам тот же вопрос на камеру, посмотрим как отвечать будете! А пока, лепите «лойсы», дело ваше конечно! Я на Хабре общаюсь с людьми и опыт полезный перенимаю, а не пытаюсь строить из себя ангела и гоняться за «плюсиками»).


        1. InstaRobot
          16.07.2015 15:05
          #8502381

          P.S.: И еще, не ТЫКАЙТЕ мне пожалуйста! Я не давал повода на такое обращение! Потрудитесь соблюдать правила сообщества, одно из которых предусматривает вежливое обращение со всеми участниками. Если решили персонализировать обращение и употребить личностное обращение, то потрудитесь обратиться по имени (никнейму) или на ВЫ!


          1. tegArt
            16.07.2015 15:23
            #8502409

            1. никто не обижался и не «тыкал», в данном случае это обращение не личное, а образному веб-разработчику
            2. я не сотрудник мэйлру, да и на вашей карме свое отношение к вашему комменту не выражал, к чему паника то? )

            Товарищ в самом верхнем комментарии, ведь не пошутил и количество "+" говорит само за себя!
            3. Товарищ в верхнем комменте именно пошутил, возможно даже не прочитав самой публикации, на что я и ответил. Объясните мне суть этого «серьезного» комментария, его связь с комментируемой публикацией и каким образом антивирус для сайтов должен что-то делать на компьютере пользователя?


            1. InstaRobot
              16.07.2015 15:53
              #8502461

              Я и говорил за ВЕБ, ранее часто пытался сработать скрипт, который «кидал» установщик на мой комп. Или пытался запихнуть мне в браузер вредоноса и переписать настройки браузера, чтобы изменить домашнюю страницу или поиск по умолчанию. Мне на компьютере это не особо страшно, так как я оплачиваю свою безопасность в виде Eset, да и у меня Mac OS X, что само по себе позволяет сильно не напрягаться. Одно дело, когда это пробует сделать китайский поисковик или еще кто, но иногда перехватывались попытки изменения на mail.ru! И именно попытки инициировать загрузку установщика, причем не .dmg, а именно .exe файла.

              Как я понимаю, скрипт срабатывает именно на веб-странице! Я почему и написал, что это смешно до определенного момента. Да — я разработчик, но не веб, а мобильный, потому не могу вам более точно рассказать почему это все происходит. Часто бываю в офисе мейла, так вот, на входе можно услышать такую шутку, что скоро всех при входе обяжут устанавливать Амиго.

              Возможно, что компания не имеет отношения к происходящему… Но какой смысл сторонним лицам проводить столь агрессивный маркетинг?


            1. InstaRobot
              16.07.2015 16:30
              #8502525

              Ну а так, считаю то, что прикрутили VD к сервису, очень полезной фишкой! Может действительно всякой скриптовой гадости меньше будет. Ладно ИТ-шники, им убрать вредоносов легко, но меня иногда очень сильно веселят браузеры простых пользователей.


  1. gornal Автор
    15.07.2015 14:26
    #8500143
    -1

    Он даже неостроумные шутки удалять умеет.


    1. veveve
      15.07.2015 20:28
      #8501005
      +4

      Теперь из блога Mail.ru пропадут все шутки?


      1. kvaki
        16.07.2015 12:16
        #8502091
        +2

        А там они были?


  1. Delphinum
    15.07.2015 14:59
    #8500217

    он позволяет устранить вредоносный код (вирусы, шеллы и т.д.) на сайтах в автоматическом режиме и при этом не нарушить работоспособность веб-ресурса

    Можно уточнить, что именно понимается под вредоносным кодом и как он (антивирус) так умудряется пофиксить сорцы, чтобы они продолжали после этого работать?


    1. Bibainet
      15.07.2015 15:20
      #8500273

      А что по вашему можно понимать под вредоносным кодом? Шелы, бэкдоры, спамботы и прочие вирусы, которые на мелких сайтах появляются постоянно. Например, самый простой, древний и всем известный вариант: <?php eval(base64_decode($_POST['code'])); ?> Если вы с этим не сталкивались — это еще не значит что вирусов на сайтах не бывает. Вредоносный код из файла можно вырезать, определив его начало и конец. Это можно делать вручную, если есть время на просмотр нескольких тысяч файлов на сайте, но такие задачи лучше автоматизировать. Естественно для лечения поверхностного скана недостаточно и для этого нужно зарегистрировать сайт на сервисе и разместить в корне специальный файл, через который будет удаленно осуществляться вся работа по поиску и удалению вирусов на сайте.


      1. Delphinum
        15.07.2015 16:04
        #8500377

        Вы слишком агрессивно восприняли мой комментарий, я писал без контекста, не ищите в нем подвоха. Как быть, если вредоносный код реализован автором сайта?


        1. Bibainet
          15.07.2015 16:19
          #8500435

          Вы не уточнили про то что код реализован автором сайта. По контенту в базе мы не ищем. Но вы спросили «как он так умудряется пофиксить сорцы». То есть вредоносный код в скриптах. Но если такой код присутствует в скриптах, значит он потенциально опасен и любой антивирус ищет угрозы независимо от того кем они были реализованы. В таком случае файл можно добавить в исключения и проверяться он не будет.


          1. Delphinum
            15.07.2015 16:24
            #8500447

            Понял, спасибо.


  1. haik_vm
    15.07.2015 15:25
    #8500283
    +7

    Я зашёл на эту страничку и антивирус начал ругаться. prntscr.com/7syekm
    На хабре ни разу ни в одной статье такого не было.
    image


    1. GEOgraf
      15.07.2015 15:35
      #8500299
      +4

      Вероятно, он сработал из-за коммента выше («eval(base64_decode($_POST»).


    1. eaa
      15.07.2015 15:38
      #8500313

      Наверно от предыдущего комментария и ругается

      <?php eval(base64_decode($_POST['code'])); ?>