Яндекс выпустил антивирус для сайтов — Manul / Хабр

Поиск Яндекса ежесуточно показывает людям больше восьми миллионов предупреждений о том, что страница, на которую они хотят перейти, заражена. Часто владелец сайта вспоминает о том, что его сайт может быть взломан и на нём может быть размещен вредоносный код, только тогда, когда худшее уже случилось, трафик упал, и пользователи успели заразиться.

Чтобы вебмастера могли как можно быстрее реагировать на проблемы, мы уже несколько лет рассылаем предупреждения о заражении в Яндекс.Вебмастере. В них мы даём подробные инструкции, что нужно делать, а в самых сложных случаях вебмастерам помогает наша служба поддержки.

Однако всегда хочется лучшего. Одна из главных проблем, с которыми мы сталкиваемся при общении с владельцами зараженных сайтов, — это поиск источника заражения на стороне сервера. У Яндекса, который каждые сутки размечает тысячи сайтов как зараженные вирусом и опасные для устройств человека, есть регулярно обновляемая база вирусов.

И у нашей команды появилась идея, выросшая в большой проект, – антивирус для сайтов. Так мы создали Manul, который решили выложить в open source. Это утилита, которая поможет вебмастеру понять, что произошло с сайтом и вылечить его. Под катом я расскажу подробнее о том, как он устроен и какие проблемы решает.

Заражение сайта может произойти не только из-за его взлома, но и из-за размещения на нём кода какого-либо сервиса, который оказался не столь надежным, как вам вначале показалось. Когда такое случается с важными для людей сайтами, это вредит не только их владельцам.

Наша служба поддержки ежедневно получает десятки писем от вебмастеров с просьбой помочь справиться с заражением. Но мы, как правило, видим только внешние проявления заражения и часто не можем с уверенностью сказать, где именно на сервере следует искать вредоносный код. Точно также мы не можем гарантировать, что источник заражения находится только в одном месте. Таким образом, главная работа по устранению причин заражения ложится на плечи владельца сайта, а из-за этого процесс выздоровления может затянуться.

В то же время мы знаем, что большая часть проблем — это нехитрые, но массовые заражения, рассчитанные, например, на давно известные уязвимости старых версий CMS и отдельных компонентов.

Поэтому у нас появилась идея сделать простой инструмент – антивирусную утилиту, которая бы собирала структурированную информацию о сайте. После этого должна быть возможность проанализировать собранные данные самостоятельно или отправить специалисту. Кроме того, хотелось бы, чтобы такими специалистами могли быть как мы, так и студии или отдельные специалисты, которые также занимаются лечением сайтов, а при желании вебмастер мог бы сделать это и сам. И, конечно, инструмент должен уметь предлагать лечащий скрипт, чтобы автоматизировать процесс лечение от начала и до конца. Особенно для рядовых случаев.

Мы стали думать, как такое можно реализовать. Было понятно, что это должна быть легко устанавливаемая утилита, которая бы не требовала доступа к учетным записям администратора. Так как Яндекс информирует вебмастеров о заражении на их сайте, то будет достаточно, если в случае такого заражения утилиту можно будет быстро скачать и установить, а после окончания лечения – также просто удалить папку с антивирусом с сервера.

Антивирусные решения для сайтов на рынке уже существовали, но отличались от того, что хотелось бы видеть нам: бесплатный открытый инструмент, которым легко пользоваться и который можно развивать и дополнять всем желающим. При создании нашей антивирусной утилиты мы решили обменяться опытом с компанией Revisium.

У Григория Земскова из Revisium был большой опыт сканирования и лечения сайтов на стороне сервера, а также работающее решение — скрипт Ai-Bolit, в который уже была заложена значительная часть желаемой функциональности. Мы объединили наши знания и пожелания, и получилось нечто новое — Manul.

Как это всё работает?

Архив с Manul заливается в корневой каталог сайта — например, через FTP/SFTP, и там распаковывается. Дальше работа с инструментом идет через браузер. При сканировании Manul собирает информацию обо всех файлах, лежащих в корневом каталоге и ниже его, — об их размере, дате последнего изменения, вычисляет хэш-сумму. Параллельно каждый файл проверяется на вредоносность по приложенной антивирусной базе и помечается одним из трех флажков:

• желтый — в файле присутствует подозрительный код, который по различным признакам может оказаться вредоносным;
• красный — в файле присутствует известный нам вредоносный код;
• зеленый — в файле не найдено ничего подозрительного.

Завершив проверку, Manul сохраняет всю полученную информацию в виде XML-отчета. Фрагменты кода — как подозрительные, так и вредоносные — также прикладываются в отчет.

Для просмотра отчета существует отдельный инструмент — Анализатор логов Manul, доступный онлайн. Он представляет отчет в виде таблицы, позволяет отфильтровать файлы по набору таких свойств, как размер, дата изменения и другие, просмотреть фрагменты подозрительного кода. Для различных версий популярных CMS Анализатор автоматически применяет белые списки, чтобы сразу отфильтровать файлы из стандартной комплектации, в которых не было замечено изменений. А нажимая кнопки Quarantine и Delete, расположенные напротив каждого файла, можно сформировать скрипт для Manul, который удалит вредоносные файлы с сервера, а подозрительные поместит в архив для отправки на анализ. Исполнить этот скрипт можно, открыв Manul и перейдя на вкладку Лечение.

Manul не требует доступа к конфиденциальным данным (таким, как пароли). Все производимые с файлами действия контролирует и подтверждает владелец сайта. Чтобы инструментом не смогли воспользоваться третьи лица, при первом запуске его необходимо защитить паролем. Никакие данные о сайте и пользователе при использовании утилиты никуда автоматически не отправляются.

Утилита не требовательна к среде исполнения и рассчитана на то, чтобы запускаться даже на слабых хостингах. Но все же для запуска ей необходимо выполнение некоторых условий: версия PHP не ниже 5.2 и наличие в ней модулей ZipArchive, DOM и XML. Также Manul потребуется доступ на чтение web_root/public_html каталога виртуального хоста

Что же дальше?

Мы решили сделать так, чтобы воспользоваться нашим трудом мог любой вебмастер.

Для этого мы разместили наш Антивирус на Яндекс.Вебмастере и теперь всегда будем напоминать о его возможностях вместе с оповещением о том, что с сайт был заражен вирусом.

Однако на достигнутом мы решили не останавливаться. Мы хотим, чтобы у каждого разработчика была возможность не просто воспользоваться нашим Манулом, но и дать ему новую жизнь. Manul — это проект с открытым кодом, который выложен на GitHub. Вы можете принять участие в его развитии, добавить новые возможности или адаптировать исходный код под собственные нужды.

Manul — новый антивирус для сайтов от Яндекса. Специально для бородатых админов

Привет, друзья IdeaFox!

Как-то тихо и незаметно прошло интересное событие, о котором мало кто написал. Ладно, восполню пробел, раз все молчат=)

Дело в том, что Яндекс выкатил собственную версию антивируса для сайтов, который весьма неплох для поиска вирусов в особо тяжелых ситуациях.

Но есть пара ложек дегтя, которые портят всю картину, но об этом чуть позже.

Я много раз писал на блоге, что не нужно пренебрегать вопросами безопасности для своих проектов. Даже если Ваш блог молодой, то не нужно думать, что он не представляет интерес для хакеров.

Наоборот: эти ребята прекрасно понимают, что гораздо проще взломать сайт неопытного вебмастера, чем пробить защиту сайта, который администрирует бородатый админ с манией преследования.

Естественно, все это делается в автоматическом режиме через поиск уязвимостей на сайте.

Я сам не раз и не два становился целью таких атак:

https://ideafox.ru/pro-blog/ithemes-security2.html

Вообще, у меня сейчас целая система по техническому обслуживанию своих проектов. В какой-то момент я понял, что непозволительно много времени трачу на всякую фигню, вместо того, чтобы администрировать создание контента.

Может быть напишу об этом, хотя тема довольно специфичная.

Отмечу лишь, что если захотят, то взломают кого угодно и когда угодно. И громкие скандалы последних месяцев – наглядное тому подтверждение.

Поэтому я всегда настойчиво рекомендую не допускать заражения, чем потом мучительно долго искать зловредный код

Но если это все-таки произошло, то придется расслабиться и получить удовольствие досконально разбираться. Поверьте, занятие крайне нервное и скучное.

Отмечу, что неопытному человеку решить такую проблему самому часто невозможно. И придется привлекать профи для решения проблемы.

И тут мое внимание привлек новый антивирус от Яндекса под названием “Манул”.

Что такое антивирус “Манул”?

Это специальный скрипт от Яндекса, который помогает найти вирусы на вашем сайте. Как понял, “Манул” был создан на базе знаменитого скрипта “Айболит” компании revisium.com

Дело в том, что обычные антивирусы часто не видят вирусы для сайтов, так как они заточены под совсем другие задачи (под обычные компьютеры). Да, они что-то видят, но далеко не все.

Здесь же мы видим решение, заточенное для сайтов.

Как им пользоваться?

На самом деле все делается буквально в пару кликов, но … впрочем об этом ниже =) Если захотите его потестировать, то в обязательном порядке сделайте резервную копию сайта.

Идем по ссылке: http://yandex.ru/promo/manul

 

И скачиваем антивирус к себе на компьютер. Весит он примерно 100 килобайт.

Заливаем содержимое архива manul.zip в корень сайта в каталог manul

 

Идем по ссылке vash_sait/manul/

Сразу придумываем пароль (чем сложнее, тем лучше)

И сразу же начинаем сканировать наш сайт на наличие вредоносного кода:

Процесс пошел =)

Важно: в некоторых случаях придется отключать плагины безопасности. Например, на одном из проектов мне пришлось отключить Ithemes security, так как он блокировал этот скрипт (не забудьте после проверки включить его снова)

Отмечу, что проверка может проходить достаточно долго. Особенно на дешевых хостингах  с ограничениями по нагрузке на процессоры сервера.

Вот, например, какую ошибку можно получить на дешевом виртуальном хостинге:

Ajax critical error

Could not properly handle AJAX request {«readyState»:4,»responseText»:»»,»status»:500,»statusText»:»Internal Server Error»}

 

Поэтому я рекомендую поиграться в настройках выставить другой интервал запросов (например, 90 секунд)

После того, как сканирование завершится, нам будет предложено скачать архив с результатами проверки.

А вот дальше начинается самое интересное и непонятное =)

Сохраненный архив с результатами проверки нужно загрузить в “Анализатор”

http://yandex.ru/promo/manul#analyzer

И через некоторое время увидим вот такую устрашающую таблицу:

Наше внимание должны привлечь файлы из списка, которые помечены красными и желтыми кружками.

Но на самом деле я не советую паниковать, так как видно, что даже безопасные файлы этот скрипт может пометить как вредоносные. Я таким образом проверил свой сервис опросов, и слегка вздрогнул, когда глянул на отчет =)

Но сравнение с файлами чистой установки движка показало, что это было ложное срабатывание.

То есть, придется внимательно рассматривать каждый подозрительный файл и искать подозрительный код. Повторюсь, что это занятие далеко не всем под силу.

Предположим, что какой-то файл на 100% вредоносный. Что делать-то?

Напротив каждого подозрительного файла можно выбрать необходимое действие: отправить на карантин или удалить (7 раз подумайте, прежде чем это делать)

Предположим, я хочу удалить файл.

Нажимаю на кнопку “Удалить”

В самом низу “Анализатора” есть поле, где появится соответствующая команда:

Эту команду нужно скопировать и вернуться на наш сайт

И во вкладке “Лечение” вставить полученную команду. А затем нажать на кнопку “Исполнить”. Файл будет удален =)

Как удалить этот антивирус с сайта?

Зайдите в корень сайта и удалите каталог “manul”

Итог

На данный момент антивирус “Манул” подойдет далеко не для всех. Точнее, подойдет он для бородатых админов в очках с толстым учебником по PHP в руке.

1. Например, на моем тестовом виртуальном хостинге он не смог отработать до конца (Евробайт). Только на мощном VPS-сервере все прошло без досадных зависаний и проклятий.

2. Есть ложные срабатывания. Но это не значит, что антивирус плохой. Очевидно, что база данных ложных срабатываний пополняется, и скоро их будет все меньше и меньше.

3. Простому пользователю лучше его не запускать, чтобы не добавлять седые волосы на голову =) Только расстроитесь.

Для новичков в блоггинге гораздо удобнее работать с WordFence Security, о котором много раз писал на блоге:

https://ideafox.ru/pro-blog/wordfence-security.html

Бесплатное антивирусное ПО — Общие вопросы. Справка

1. Срочная помощь
2. Бесплатный антивирус
3. Если вирус полностью заблокировал компьютер
4. Программы против вредоносной рекламы

Если вам срочно нужно проверить компьютер на наличие вирусов, рекомендуем следующие бесплатные инструменты:

Dr.Web CureIt!

• Kaspersky Virus Removal Tool

Чтобы ваш компьютер всегда был защищен, установите антивирусную программу с регулярным обновлением ее вирусных баз. Лучше всего настроить антивирусную программу так, чтобы она постоянно следила за поведением программ, запущенных на вашем компьютере.

Если вы не можете установить платную антивирусную программу, используйте одну из следующих бесплатных программ, перечисленных ниже. Большинство этих программ являются пробными версиями платных антивирусных программ с урезанным функционалом. Но даже урезанная антивирусная программа лучше, чем ничего.

Бесплатные антивирусные программы:

• Kaspersky

• Superantispyware

• Malwarebytes Anti-Malware

• Avg Antivirus Free

• AVG Antivir0003

  Аваст! Бесплатный антивирус

• Clamwin

• Comodo Antivirus

• Microsoft Security Essentials

• Panda Cloud Antivirus

• 36012 Panda Cloud Antivirus

• 36012 Panda Cloud Antivirus

• 36003. образ загрузочного диска с антивирусным сканером:

  • Dr.Web LiveDisk

  • Kaspersky Rescue Disk

  • Vba32 Rescue LiveCD

  Для сканирования компьютера с помощью загрузочного диска:

  1. Загрузите образ диска на другой зараженный компьютер.

  2. Сохраните на нужный носитель (CD/DVD или флешка).

  3. Перезагрузите зараженный компьютер, вставив или подключив подготовленный носитель.

  4. Вход в BIOS при загрузке компьютера. Для этого обычно нужно нажать определенную клавишу, обычно F2, Del или Esc. Чтобы узнать, какую клавишу нажимать, вы можете загрузить компьютер и проверить подсказки в нижней части экрана (например, «»Нажмите F2, чтобы запустить НАСТРОЙКУ»).

  5. Настройте Boot Sequence в BIOS зараженного компьютера, чтобы компьютер загружался сразу с носителя, который вы записываете.

  6. Перезагрузите компьютер. На этот раз он должен загрузиться с носителя и запустить антивирус.

  7. Запустите сканирование и подождите, пока антивирус полностью просканирует систему и удалит найденные вирусы.

  8. Извлеките загрузочный диск и перезагрузите компьютер. Верните исходные настройки Boot Sequence, если вы их изменили.

  9. Как только вылечили компьютер, сразу установите антивирусную программу.

  Если в вашем браузере появляется навязчивая и шокирующая реклама, открываются рекламные вкладки или вас перенаправляют на нежелательные веб-сайты, используйте антивирусное программное обеспечение для проверки операционной системы:

  Yandex Rescue Tool Чистилка Reason Core Security

  MacOS Adwaremedic Cleanmymac

  Выбор и настройка Brower, Antivirus и OS для обеспечения максимальной безопасности. Соблюдение интернета 9000 9000 9000. 9000. 9011. при просмотре веб-страниц, пользователю, настройкам ОС по умолчанию и антивирусу, а также защите интернет-шлюза, и это лишь некоторые из них, определяют, насколько безопасен ваш компьютер при просмотре веб-страниц. Тем не менее, мы хотели бы предложить следующие советы и рекомендации:

  1. Браузеры Opera 11 и Firefox 5 более безопасны, чем предыдущие версии Opera и Firefox . Microsoft Internet Explorer 9.0 значительно более безопасен, чем предыдущие версии Microsoft Internet Explorer .

  2. Само собой разумеется, что работать с антивирусом безопаснее, чем без него:

     • Следующие антивирусы получили высокую оценку AV Comparatives в феврале 2011 года: AVIRA AntiVir Personal 10, BitDefender AV Pro 14, MicroWorld eScan AntiVirus 11, F-Secure AntiVirus 10, Kaspersky AV 11, McAfee AntiVirus+ 14, Trustport Antivirus 11, Sophos AntiVirus 9, avast! Free Antivirus 5, G Data Antivirus 21, ESET NOD32 Antivirus 4, Symantec Norton Anti-Virus 18, Panda Anti-Virus Pro 10, Microsoft Security Essentials 2;

     • AVIRA AntiVir Personal 10, avast! Free Antivirus 5 и Microsoft Security Essentials 2 бесплатны;

     • Эффективность большинства современных антивирусов сильно снижается без частых обновлений и доступа в Интернет.

  3. Также лучше иметь установленный и правильно настроенный брандмауэр. Правильно настроенный брандмауэр разрешает только необходимую сетевую активность. Вы можете включить брандмауэр следующим образом:

  4. Гораздо безопаснее использовать учетную запись с ограниченными правами, чем учетную запись локального администратора, не говоря уже об учетной записи администратора домена. Кроме того, мы рекомендуем вам:

  5. Microsoft Windows 7 — самая безопасная операционная система Windows для рабочих станций. ОС на основе UNIX (включая Linux, BSD и Industrial UNIX) более безопасны, чем большинство других популярных операционных систем.

  6. Любое программное обеспечение, включая операционные системы, которое само обновляется, обычно считается более устойчивым к онлайн-угрозам. Обновления можно включить следующим образом:

  7. Неофициальные версии и программы, распространяемые неофициально (на поддельных дисках, торрентах и ​​нелегальных зеркалах сайтов), не так безопасны, как приобретенные по официальным каналам.