CISHost

Экспертная компания в области информационной безопасности, разработчик сканера вредоносного кода ai-bolit «Ревизиум» делится опытом. Наиболее любопытные статьи представлены ниже:

В этом обзоре мы хотим познакомить Вас с замечательным сканером Manul. Вкратце, Manul это совместный проект Яндекса и Revisium(сканер Ai-bolit).

Вредоносные скрипты, как биологические вирусы, постоянно эволюционируют, совершенствуются и перестают быть видимыми для антивирусных программ. Поэтому рекомендуется производить сканирование и выявнение вредоносных скриптов различными сканерами.

В данной статье приводятся отчеты сканирования одного из зараженных сайтов с помощью бесплатных утилит: Linux Malware Detect (R-fx Networks) и Ai-bolit (Revisium)

Сайты зачастую становятся объектами для атак злоумышленников. В данной статье рассмотрены решения по наиболее часто поступающим вопросам в техподдержку от клиентов.

Еще раз о Malware.

В последнее время участились вопросы пользователей хостинга об установке прав 555(чтение и исполнение) на их папку www.

Отчего же это происходит?

Дело в том, что на серверах хостинга установлен защитный скрипт, который работает так:
Если обнаружено множественного подключение к внешним SMTP серверам на порт 25/tcp от имени пользователя, то:
1. Запускается антивирусный сканер Clamav/Maldet для поиска вирусов в папке пользователя.
2. Устанавливаются права 555 для того, чтобы предотвратить последующее заражение через различные уязвимости сайтов, в частности старых версий Joomla, Wordpress, DLE и тому подобных.

Другие хостинг провайдеры просто блокируют сайт пользователя при получении уведомления о рассылаемом спаме, мы же стараемся, чтобы сайты клиентов продолжали работать бесперебойно, несмотря на их заражение. Дело в том, что при правильно настроенной CMS вполне достаточно прав 555 (чтение и исполнение) для её работы.

Каким же образом отправлять письма?

Вы можете пользоваться нашими серверами для отправки до 50 писем в час(используя явную авторизацию на сервере) или другими почтовыми службами, подключаясь к ним на защищенные порты(любой кроме 25/tcp). Google, например, использует порт 465(требуется SSL) и порт 587(требуется TLS). Здесь нет никаких ограничений.

Зачем мы вообще пользуемся антивирусами?

Если ими не пользоваться, то сайты уязвимых CMS наполняются вирусами, которые рассылают спам, собирают пароли, работают в ботнетах.

Например, на одном из сайтов было недавно обнаружено 179 различных вредоносных скриптов(сайт не обновлялся с 2011 года, Joomla 1.5). Подобные сайты часто вызывают до 1000 одновременных подключений на внешние серверы для прямой доставки спама.

Помимо дополнительной нагрузки на серверы, наши диапазоны IP попадют в черные списки, что ведет к запрету на отправку писем обычными пользователями, блокировке в поисковых системах и другим подобным вещам. Мы стараемся максимально быстро вытаскивать IP из черных списков. И на данный момент ни один из наших адресов в них не находится.

Очень желательно своевременно устанавливать обновления CMS и не выставлять права, разрещающие запись файлов на сайт(кроме отдельных директорий). Приносим извинения за возможные неудобства.