この時点で、問題の原因を見つけるタスクが発生します。つまり、セキュリティの問題についてサイトを診断します。 有能なアプローチでは、診断は2つの段階で構成されます。
- ホスティング上のファイルとデータベースをチェックして、サーバー側の悪意のあるスクリプトとインジェクションがないか、
- ウイルスコード、隠されたリダイレクト、および静的ファイルスキャナーでは検出できない場合があるその他の問題について、サイトページをチェックします。
ホスティングのファイルを専用のスキャナーで既にチェックし、ホスティングアカウントを「マルウェア」から駆除した(または疑わしいものは何もなかった)が、検索エンジンがまだウイルスコードを誓うか、サイトでモバイルリダイレクトがまだアクティブであるとします。 この場合の対処方法 Webスキャナーは、悪意のあるコードのサイトページの動的および静的分析を実行します。
理論のビット
ページの静的分析は、悪意のある挿入(主にjavascript)、スパムリンクとスパムコンテンツ、フィッシングページ、およびチェックされているページと接続されたファイルの他の静的要素の検索です。 そのようなフラグメントの検出は、署名データベースまたは正規表現のセットに基づいて実行されます。 悪意のあるコードがページまたはダウンロードしたファイルに常に存在し、Webスキャナーにも認識されている(つまり、署名データベースに追加されている)場合、Webスキャナーはそれを検出します。 しかし、これは常に起こるとは限りません。 たとえば、悪意のあるコードを別のリソースからダウンロードしたり、特定の条件下で不正なアクションを実行したりできます。
- ページの読み込みが完了すると、JavaScriptがページに追加され、ドライブバイダウンロード攻撃が実行されます
- ユーザーがページを離れると、この時点でコードが読み込まれ、「大人向け」のコンテンツでポップアンダーが開きます
- サイト訪問者はページに数秒間表示された後、SMSの有料サブスクリプションにリダイレクトされます
- など
そのような例:
どのコードがこれらの不正なアクションを引き起こすかが事前にわからない場合、静的分析によってそれを検出することは非常に困難です。 幸いなことに、動的分析が存在するか、「行動」とも呼ばれます。 Webスキャナーがスマートであれば、ページまたはファイルのソースコードを分析するだけでなく、実際の訪問者のアクションをエミュレートする何らかの操作を実行しようとします。 各アクションの後、または特定の条件下で、スキャナーロボットは変更を分析し、最終レポートのデータを蓄積します:複数のブラウザーにページを読み込みます(異なるユーザーエージェントからだけでなく、javascriptのナビゲーターオブジェクトの異なる値、異なるdocument.refererおよびなど)、内部タイマーを高速化し、外部リソースへのリダイレクトをキャッチし、eval()、document.write()などに渡されるものを追跡します。 高度なWebスキャナーは、すべてのスクリプト実行の開始前(ページが読み込まれた直後)と、しばらく経った後の両方で、ページコードとその上のオブジェクトを常にチェックします。ダイナミックフレーム内。 たとえば、感染したウィジェットのコードは、3秒で、またはマウスの動きでスクリプトをロードできます。これは、危険な.apkファイルをダウンロードするリダイレクトを使用してjavascriptページに貼り付けます。 当然、静的分析(ウィジェットが危険であることを事前に知っている場合を除く)やファイル検索ではこれが明らかになりません。
次に、サイト診断とWebクローラーの要件を理解した上で、本当に効果的なものを見つけてみましょう。 残念ながら、「オンラインでサイトのウイルスをチェックする」というクエリの検索エンジンの最初のページに表示される内容は、すぐには役に立ちません。 これは、最適な場合に静的ページ分析を実行できる「クラフト」(たとえば、危険ではないIFRAMEを見つける)、またはGoogle Safe Browsing API、Yandex Safe Browing API、VirusTotalを使用してサイトURLをチェックするサードパーティAPIアグリゲーターですAPI
デスクトップアンチウイルスでサイトをチェックすると、分析も静的である可能性が高くなります。アンチウイルスは既知の感染サイトからのダウンロードを巧妙にブロックしますが、サイトのページの何らかの深い動的分析を期待しないでください(ただし、一部のアンチウイルスはファイルやページで署名を検出しますが)
その結果、よく知られている20個のサービスを確認した後、次の点について詳しく説明します。
QUTTERA Webスキャナー
シグネチャレス分析を使用して、ページ上の悪意のあるコードを検索します。 つまり、特定のヒューリスティックがあり、動的なページ分析を実行するため、0日の脅威を検出できます。 優れた機能の中で、一度に1ページずつチェックすることが必ずしも効果的ではないため、サイトの複数のページを一度にチェックできることは注目に値します。
トロイの木馬のダウンロードまたはサイズに関連する脅威、ウイルスに感染した実行可能ファイルを検出します。 特徴的な感染を伴う西部のサイトに焦点を当てていますが、感染したRunetサイトをチェックする際に役立ちます。 サービスは無料であるため、タスクを処理するためのキューがあるため、少し待つ必要があります。
WebスキャナーReScan.pro
サイトの動的および静的分析を実行します。 行動分析は隠れたリダイレクトを検出し、静的分析はページおよびダウンロードされたファイル内のウイルスフラグメントを探し、感染したドメインからダウンロードされたリソースはブラックリストベースによって決定されます。 内部リンクをたどるので、メインURLに加えて、サイトのさらにいくつかの隣接するページをチェックします。 すばらしい追加は、Yandex、Google、VirusTotalのブラックリストでサイトをチェックすることです。 主にRunetに存在するマルウェアに焦点を当てています。 このサービスは無料であるため、検証の制限は1日あたり1つのIPから3つのリクエストです。
Sucuri Web Scanner
シグネチャとヒューリスティックによってウイルスコードを検索します。 ユーザーエージェント/リファラーが異なるサイト上の複数のURLにリクエストを送信します。 スパムリンク、誘導ページ、危険なスクリプトを検出します。 さらに、CMSとWebサーバーの現在のバージョンを確認できます。 チェックの数に制限はありません。 小さなマイナスから、結果のあるチェック済みサイトのリストが検索エンジンによってインデックス付けされていることがわかりました。つまり、どのサイトと何が感染したかを確認できます(現在、検索インデックスに約90,000ページあります)が、これはスキャナーの有効性を損なうものではありません。
Redlegのファイルビューアー
別の西側のWebサイトスキャナー。 90年代からの禁欲的なインターフェイスでは少し恐ろしいかもしれませんが、それでも、サイトとページに接続されているファイルの完全な静的分析を実行できます。 スキャン時に、ユーザーはユーザーエージェント、リファラー、ページ検証のパラメーターを設定できます。 設定には、Googleキャッシュからのページチェックがあります。 サイト検証の制限は見つかりませんでした。
VirusTotal
そして最後に、多くのVirusTotalに精通しています。 完全なWebスキャナーではありませんが、数十のアンチウイルスおよびアンチウイルスサービスのアグリゲーターであるため、診断にも使用することをお勧めします。
***
上記のWebスキャナーをブックマークしておくと、必要に応じて効果的なツールですぐに診断でき、有料または非効率なサービスに時間を浪費することはありません。