Что такое вирусы в интернете
Вирусы на сайте: какие бывают и как могут навредить
Заражение сайта вирусами — результат хакерской атаки, только не всегда целенаправленной. Вероятность того, что именно на ваш сайт нападет злоумышленник, небольшая. Гораздо легче поймать вирус по другой, более прозаичной причине. Например, из-за невнимательности разработчиков при написании кода, неосторожности при работе с сайтом через FTP или из-за плагина CMS.
В статье расскажем, какие бывают вирусы, как они чаще всего попадают на сайт и что будет, если вовремя их не отследить.
Какие бывают вирусы и что они умеют
Вирус — это вредоносный код, который разрабатывают для несанкционированных действий. Он внедряется через уязвимости в сайте или веб-приложении. На первый взгляд вредоносный код мало чем отличается от обычного кода:
Пример вредоносного кода на языке JavaScript. Источник: virusdie.com
Когда на сайт попадает вредоносный код, он приносит много неприятностей: повреждает файлы, крадет информацию, устанавливает вредоносное ПО на устройства пользователей. Из-за вирусов на сайте появляются ошибки, он становится «тяжелее» — тратит больше ресурсов хостинга, страницы загружаются дольше.
Разновидностей вирусов очень много, мы не будем подробно останавливаться на каждой. Расскажем о самых популярных, атакующих сайты и веб-приложения.
XSS-атака
XSS (англ. Cross-Site Scripting — межсайтовый скриптинг) — распространенная уязвимость, которую можно обнаружить на множестве сайтов. В рейтинге CWE за 2020 год, в который вошли 25 самых опасных уязвимостей, XSS занимает 1 место.
Через эту уязвимость злоумышленники могут внедрить код JavaScript прямо на страницу сайта (XSS-атака). Вредоносный скрипт собирает данные: логины и пароли, куки. Для пользователей это проходит незаметно: сайт выглядит как прежде, дизайн не меняется, а все плохое происходит «под капотом» сайта — в коде. Дальше скрипт отправляет все данные на сервер злоумышленника, и он получает доступ к аккаунтам пользователей и их персональной информации.
Также скрипт может перенаправлять пользователя на другой сайт с похожим дизайном. Если человек не заметит подмены, он может ввести свои учетные данные или реквизиты банковской карты прямо на сайте злоумышленника, не зная этого.
LFI — включение локального файла
LFI-уязвимость (англ. Local file include — включение локальных файлов) — уязвимость, которую злоумышленник может использовать, чтобы заставить веб-приложение раскрыть или запустить файлы на сервере. Она возникает из-за неправильной настройки веб-сервера и ошибок в коде сайта.
Обычно эту уязвимость эксплуатируют сразу в двух направлениях:
SQL-инъекция
SQL-инъекция — особый способ внедрения вредоносного кода. SQL-инъекция позволяет вмешиваться в запросы, которые приложение делает к своей базе данных. Атака этого типа возможна из-за неправильно выбранного способа взаимодействия с базой данных при разработке сайта.
Как злоумышленник может использовать SQL-инъекцию:
Вредоносное программное обеспечение
Вредоносное ПО и вредоносный код — разные угрозы, которые часто работают вместе.
Вредоносное ПО — программное обеспечение, которое устанавливается на устройства и содержит в себе множество разных типов вирусов. Тогда как вредоносный код — это веб-скрипт, атакующий сайты и веб-приложения. Вредоносный код проникает через уязвимость сайта и его можно использовать для загрузки вредоносного ПО на устройства пользователей.
Наглядный пример распространения вредоносного ПО через сайт — случай с известной площадкой CNET. На сайте CNET размещалась ссылка для скачивания бесплатного видеоредактора VSDC. В феврале 2020 года ссылка была взломана через уязвимость сайта и вместо подлинной программы посетители скачивали вредоносное ПО, позволяющее злоумышленникам получать доступ к компьютерам пользователей.
При переходе по взломанной ссылке на сайте download.cnet.com загружался файл с инфицированным программным обеспечением. Источник: news.drweb.com
Это лишь один из множества сценариев распространения вредоносного ПО через взломанные сайты. Расскажем о некоторых типах вредоносного ПО, которые проникают на устройства через сайты.
Spyware — это разновидность шпионского ПО. Позволяет собирать личные данные пользователя, в том числе конфиденциальные: банковские реквизиты, логины-пароли, адреса электронной почты и даже нажатие клавиш на клавиатуре. Отслеживает действия и поведение в сети.
Трояны — маскируются под обычное ПО: бесплатную программу, zip-архив. Если запустить троян на устройстве, он сможет полностью контролировать систему: изменять другое ПО и файлы, передавать данные с ПК на сервер или использовать компьютер в своих целях — например, для кибератак.
Черви — попадают на компьютер, размножаются и распространяются на ПК других пользователей, например, через электронные адреса в памяти захваченных устройств.
Следствие атак червей:
Злоумышленники используют это ПО, чтобы вредить работе организаций, рассылать спам или получать доступ к управлению устройствами.
Rootkits — это утилиты, которые маскируются под системные вспомогательные программы и скрывают процессы других вредоносных программ. С помощью последних взломщики получают файлы или наносят вред системам устройств.
Keyloggers — это ПО перехватывает данные с устройств:
С помощью кейлогеров злоумышленники воруют номера счетов, карт, пароли и другие персональные данные.
Майнеры — ПО, которое использует ресурсы устройств для добычи криптовалюты.
Программы-майнеры могут быть легальными и нелегальными.
Легальный майнинг. Пользователь, желая заработать, самостоятельно устанавливает и запускает программу на ПК.
Нелегальный майнинг. Злоумышленники устанавливают программу и пользуются компьютером без ведома владельца. Чаще от этого страдают корпорации — в крупной компании сложно отследить, что устройства стали потреблять больше энергии.
Как вирусы попадают на сайт
Вирус попадает на сайт в результате взлома: целевого или нецелевого.
Целевой взлом, как ясно из названия, происходит целенаправленно. Такой взлом могут заказать, например, конкуренты компании. Хакер хочет взломать конкретный сайт и пытается найти точку входа: ищет в коде слабые места или использует перебор паролей к серверу. Если получается найти уязвимость — внедряет на сайт вирус.
Нецелевой взлом никто не заказывает. Такие атаки осуществляются с использованием автоматизированных инструментов, которые были запрограммированы для поиска уязвимости и добавления вируса. Подавляющее большинство взломанных сайтов — жертвы нецелевых атак. Такие атаки дешевле целевых и дают возможность с минимальными усилиями нанести ущерб огромному количеству сайтов и систем.
Владелец или разработчик сайта часто неосознанно способствует попаданию на него вируса. Например, создает некачественный код или использует ПО для разработки сайта из непроверенных источников, которые уже содержат вирус.
Рассмотрим пути заражения подробнее.
Ошибки в коде и настройках сайта
В коде любого сайта и логике его работы могут быть ошибки — это помогает вирусам попадать на сайт. В результатах исследования компании Positive Technologies говорится, что 82% уязвимостей были обнаружены именно в коде приложений (в исследовании участвовало 38 веб-приложений из разных сфер бизнеса). Большинство веб-приложений имело в среднем 22 уязвимости, половина которых — с высокой степенью опасности.
Ошибки в коде появляются из-за некомпетентности или невнимательности разработчика — например, из-за такой мелочи, как неправильная обработка текста от пользователей, на сайте возникает XSS-уязвимость.
Представьте, что на сайте есть форма для отправки отзыва, которая содержит поля для ввода текста. В коде этой формы разработчик может забыть настроить проверку вводимой информации и злоумышленник сможет отправить вредоносный код, просто вписав его в поле формы. Дальше этот код сохранится на странице и будет загружаться в браузер каждого пользователя, который зайдет на страницу сайта (XSS-атака).
Еще одна причина появления уязвимостей — небезопасные библиотеки (фреймворки). Большинство современных сайтов создается с помощью готовых решений (фреймворков) — это дешево и удобно. Не нужно писать код с нуля, достаточно доработать готовую библиотеку под нужды сайта. Но сторонние фреймворки могут содержать в себе ошибки, которые и становятся причиной заражения вирусами.
Неправильная настройка сайта также открывает множество лазеек для злоумышленников. Разработчики и администраторы довольно часто пренебрегают безопасностью:
Разработчики и веб-мастера могут допускать ошибки в коде и настройке сайта случайно — из-за недостатка опыта, или немеренно. Так бывает, когда на проекте возникают конфликты и разногласия. Тогда разработчик перед уходом специально может оставить бэкдор.
Заражение через FTP-клиент
Многие вебмастера работают с сайтом через FTP (англ. File Transfer Protocol — протокол передачи файлов), пользуются FTP-клиентами: FileZilla, WinSCP, Core FTP LE, CuteFTP и др. Это позволяет удаленно управлять файлами на сервере: просматривать, загружать, перемещать, удалять их и т. д.
Часто FTP-клиент сохраняет логин и пароль пользователя для автоматической авторизации. Это удобно, но небезопасно: такие данные могут храниться в незашифрованном виде. Когда на компьютер веб-мастера попадает вредоносная программа, например, червь — она может собирать и передавать данные злоумышленникам, так доступ к сайту оказывается в чужих руках. Дальше — потеря контроля, вирусы на сайте, ошибки в работе приложения.
Уязвимости в CMS и плагинах
CMS — это программы, которые помогают управлять сайтом: менять дизайн, писать тексты, добавлять виджеты и т. д.
Коды многих популярных CMS (WordPress, Joomla и т. д.) есть в открытом доступе. На такое ПО обычно не нужно покупать лицензию — это выгодно для владельцев сайтов. Но код такого ПО может изучить кто угодно, в том числе злоумышленники — так они находят слабые места в системах управления сайтами и используют бреши для атак.
Обезопасить CMS от взлома можно. Если использовать лицензионные CMS, следить за официальными обновлениями платформы и устанавливать их вовремя, риск заражения становится минимальным. А вот сторонние плагины для CMS из непроверенных источников могут содержать уязвимости.
Плагины CMS — это расширения, которые подключаются к CMS. С их помощью на сайте добавляют нужные модули (интеграцию с соцсетями, обработку платежей) или меняют тему оформления.
Плагины из официальных каталогов CMS, как правило, платные. Те, кто хочет сэкономить, скачивают бесплатные плагины, часто с непроверенных сайтов. С этого, как правило, начинается история заражения сайта, так как такие плагины в большинстве случаев уже содержат вирусы.
Причиной уязвимости также становятся старые плагины. Веб-мастера со временем перестают использовать какие-то скачанные расширения, но часто забывают удалять их. А старый плагин, который не удален и не обновляется — слабое место, через которое злоумышленник может получить доступ к коду CMS.
Последствия заражения сайта вирусом
Если вовремя не принять меры, заражение сайта вирусом может закончиться неприятно. Основные последствия для сайта и бизнеса:
Интернет-угрозы
Сегодня, в информационную эпоху, потеря или кража данных может иметь серьезные последствия. На вашем компьютере может храниться личная информация, которую трудно восстановить или которая может открыть киберпреступникам прямой путь к вашим деньгам.
Потеря данных
Если в результате вредоносной атаки на вашем компьютере удаляются какие-либо данные, последствия зависят от степени ценности этих данных для вас. Если удаленные файлы относительно неважны, атака может вызвать лишь некоторое неудобство. Однако в иных случаях она может привести к потере:
Кража данных
Когда заражение домашнего компьютера ведет к краже важной информации, в результате возможно следующее:
Если данные украдены у коммерческого предприятия, это может привести к попаданию в третьи руки:
Как уберечь данные от удаления и кражи
Антивирус жизненно важен для предотвращения заражения ваших компьютеров и мобильных устройств. Однако также следует регулярно делать резервную копию данных, хранящихся на ваших устройствах. Даже если ваши устройства никогда не подвергались заражению вредоносными программами, повреждение жесткого диска или других компонентов может очень сильно осложнить доступ к важной для вас информации. В такой момент вы были бы рады иметь резервные копии своих данных.
«Лаборатория Касперского» предлагает целый ряд антивирусных продуктов мирового уровня для защиты компьютеров и мобильных устройств от вредоносных программ. Некоторые продукты «Лаборатории Касперского» включают функции обычного и сетевого резервного копирования данных, а также используют специальные технологии, например уникальную технологию «Безопасные платежи», которые не позволяют киберпреступникам красть пароли к вашим банковским счетам или учетным записям в интернет-магазинах.
Другие статьи и ссылки, связанные с утратой и кражей данных
Под интернет-угрозами здесь мы понимаем вредоносные программы, которые могут представлять опасность во время работы в интернете. Существует ряд интернет-угроз, которые проникают на компьютер пользователя через браузер.
Основным инструментом заражений через браузер являются эксплойты. Они открывают киберпреступникам дорогу для заражения компьютера:
Приложения и операционные системы, на которые направлены интернет-угрозы
Киберпреступники могут использовать любую уязвимость (в операционной системе или в приложении) для осуществления атаки с помощью эксплойта. Тем не менее, большинство киберпреступников создают веб-угрозы, нацеленные на популярные операционные системы и приложения, в частности:
Миллионы веб-атак каждый день
В 2012 году количество атак через браузеры составило 1 595 587 670. В среднем это означает, что продукты «Лаборатории Касперского» защищали пользователей от веб-угроз более чем 4,3 миллиона раз в день.
Эксперты «Лаборатории Касперского» определили наиболее активные вредоносные программы, связанные с веб-угрозами. В списке содержатся следующие типы интернет-угроз:
20 самых распространенных вредоносных программ в интернете
20 самых распространенных вредоносных программ, участвовавших в интернет-атаках в 2012 году, в соответствии со статистикой «Лаборатории Касперского» (96% всех интернет-атак пришлось на эти программы):
Позиция
Название*
Количество атак
Общее количество атак (%)**
Компьютерные вирусы
Стремительное развитие информационных технологий и их проникновение во все сферы человеческой деятельности привело к развитию информационной или кибер-преступности, направленной против информационной безопасности. Ежегодно миллионы людей и компаний теряют ценную информацию и данные в результате вирусных атак, действия троянов и других вредоносных программ. Часто информация бывает утеряна безвозвратно.
Информация в современном обществе является ценным достоянием и подлежит защите, но в то же время информация должна быть доступной для определенного круга пользователей (например, сотрудникам, клиентам и партнерам предприятия). Поэтому актуальной задачей современного общества является создание комплексной системы информационной безопасности. Такая система должна учитывать все возможные источники угроз и использовать весь комплекс защитных мер, таких как физические, административные и программно-технические средства защиты. На сегодняшний день угрозы безопасности для компьютера могут принять любую форму и масштаб.
Развитие современных компьютерных технологий и средств связи добавляет различные источники распространения угроз, а именно: программное обеспечение, пиринговые сети, CD/DVD/др. диски, flash-накопители, а также электронная почта, локальная сеть и весь Интернет в целом.
Первостепенной задачей для сегодняшних пользователей становится защита компьютера от вирусов. Вирусы поражают не только данные, но и системные настройки, а также загружают(блокируют) ресурсы операционной системы и Интернет-соединений. Вирусы сокращают производительность компьютера и расходуют Интернет-трафик, не давая возможности пользователям полноценно работать на компьютере. Следовательно, защита компьютера от вирусов – это основа безопасной и продуктивной работы.
Итак, как защитить компьютер и какие средства можно применить для защиты информационной системы организации и пользовательских данных при таких многочисленных угрозах безопасности, исходящих из самых разных источников?
Антивирусная программа
От вирусов защита компьютера обеспечивается установкой антивирусной программы и ее регулярным обновлением. Они проверяют программное обеспечение компьютера на наличие всевозможных вирусов, Worms (червей) и Trojan (троянов). Антивирусная программа должна иметь возможность сканировать электронную почту и файлы, загружаемые из Интернета, для предотвращения действия вируса или вредоносной программы до их попадания в программное обеспечение компьютера. Обновлять антивирусную базу нужно только с сайта производителя антивирусного программного обеспечения.
Постарайтесь установить лучший антивирусный пакет, так как вирус отправляется разработчикам программы и до момента обновления антивирусных баз может пройти несколько дней.
Носители информации
Проверка всех внешних носителей и способность антивирусной программы вычислять USB-шпионов позволит защитить компьютер.
FireWall (брандмауэр)
Если Ваш компьютер имеет выход в Интернет, одной антивирусной программы мало, т.к она может удалить вирус только, когда он непосредственно находится на компьютере пользователя.
F irewall может пропускать в Интернет или запускать из Интернета только те программы, которые ему разрешены. Все остальные программы будут заблокированы для доступа как на вход с Интернета, так и на выход.
Получается пользователь устанавливает сторожа между компьютером и Интернетом, который будет пропускать только нужное и важное, все остальное он будет задерживать
Когда firewall используется в сочетании с антивирусной программой и обновлениями операционной системы, защита компьютера поддерживается на максимально высоком уровне безопасности.
Обновление операционной системы и программ
Обновления – это исправления найденных со временем ошибок в программном обеспечении.
Пароль входа в систему
Пароль для входа на персональный компьютер, особенно для учетной записи “Администратор”, поможет защитить информацию от несанкционированного доступа локально или по сети, к тому же создаст дополнительную преграду вирусам и шпионским программам.
Безопасный web-серфинг
Интернет – это одно из самых распространенных мест, чтобы получить вирус или шпионское программное обеспечение при просмотре веб-страниц. Просто блуждая по Интернету с помощью браузера, каждый из нас рискует подцепить заразу, целью которой становится как электронная наличность, так и содержимое жесткое диска. Практикуйте безопасный веб-серфинг.
Обеспечение собственной безопасности требует целого комплекса защитных мер, которые делятся на серверные и клиентские. К серверным в первую очередь относится выбор надежного proxy, а пользователям необходимо определяться с браузером.
Вся почта может быть разделена на внешнюю и внутреннюю с различными схемами маршрутизации (выделяется два сервера либо один и тот же сервер обслуживает два различных домена).
При использовании двух и более почтовых серверов с выделенным релейным сервером с установленным на нем антивирусным комплексом, поможет избежать проникновения вирусов во внутреннюю сеть организации. Такой вариант поможет предотвратить утечку информации вовне при поражении одного из узлов вирусом, рассылающим свои копии электронной почтой. Некоторые вирусы прикрепляют к зараженному письму документы с зараженного компьютера, что так же может привести к потере конфиденциальной информации. Поэтому, крайне важно не выпустить такую рассылку за пределы организации.
Программы обнаружения и защиты от вирусов
Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными.
Различают следующие виды антивирусных программ:
1. Программы-детекторы осуществляют поиск характерной для конкретного вируса последовательности байтов (сигнатуры вируса) в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение.
2. Программы-доктора или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы вируса, возвращая файлы в исходное состояние. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известными полифага¬ми являются программы Aidstest, Scan, Norton AntiVirus и Doctor Web.
3. Программы-ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным.
4. Программы-фильтры или «сторожа» представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. При попытке какой-либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие.
5. Вакцины или иммунизаторы — это резидентные программы, предотвращающие заражение файлов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.
Современные антивирусные программы совмещают в себе средства обнаружения и защиты от вирусов.
Профилактика заражения
Подведем итог, сформулировав правила безопасности, выполнение которых позволит избежать риска вирусных атак.
Правило № 1: защитите компьютер с помощью антивирусных программ и программ безопасной работы в интернете. Для этого:
Установите рекомендуемые параметры защиты компьютера. Защита начинает действовать сразу после включения компьютера и затрудняет вирусам проникновение на компьютер.
Установите рекомендуемые экспертами параметры для полной проверки компьютера и запланируйте ее выполнение не реже одного раза в неделю.
Правило № 2: будьте осторожны при записи новых данных на компьютер:
Осторожно обращайтесь с почтовыми сообщениями. Не запускайте никаких файлов, пришедших по почте, если вы не уверены, что они действительно должны были прийти к вам.
Внимательно относитесь к информации, получаемой из интернета. Если с какого-либо веб-сайта предлагается установить новую программу, обратите внимание на наличие у нее сертификата безопасности.
Если вы копируете из интернета или локальной сети исполняемый файл, обязательно проверьте его с помощью Антивируса.
Внимательно относитесь к выбору посещаемых интернет-ресурсов. Некоторые из сайтов заражены опасными скрипт-вирусами или интернет-червями.
Правило № 3: внимательно относитесь к информации от антивирусного ПО.
В большинстве случаев оно сообщает о начале новой эпидемии задолго до того, как она достигнет своего пика. Вероятность заражения в этом случае еще невелика, и, скачав обновленные сигнатуры угроз, защитите себя от нового вируса заблаговременно.
Правило № 4: пользуйтесь сервисом Windows Update и регулярно устанавливайте обновления операционной системы Microsoft Windows.
Правило № 5: покупайте лицензионные копии программного обеспечения у официальных продавцов.
Правило № 6: уменьшите риск неприятных последствий возможного заражения:
Своевременно делайте резервное копирование данных. В случае потери данных система достаточно быстро может быть восстановлена при наличии резервных копий. Дистрибутивные диски, дискеты, флеш-карты и другие носители с программным обеспечением и ценной информацией должны храниться в надежном месте.
Обязательно создайте диск аварийного восстановления, с которого при необходимости можно будет загрузиться, используя «чистую» операционную систему.