Как проверить есть ли вирусы в сети

Обновлено: 24.04.2024

Статья расскажет о способах разбора и детектирования вредоносного сетевого взаимодействия в сети. Информация предоставляется для ознакомления. Здесь будут рассмотрены основные инструменты для анализа сетевого трафика и рассмотрены источники примеров для практики.

Анализ сетевого взаимодействия

Что в большинстве случаев генерирует в сети вредоносное программное обеспечение:

отчет о инфицировании системы;

собранные в системе учетные данные;

принимаемые команды от управляющего сервера;

загружаемые модули обновления вредоноса;

сетевой трафик, который используется для атак DDoS

Для обнаружения вредоносного сетевого взаимодействия нужно:

Иметь возможность записывать фрагменты сетевого взаимодействия;

Знать основные шаблоны передачи зловредами данных по сети и способы сокрытия информации в сетевом взаимодействии.

Первый пункт решить достаточно просто с помощью снифферов типа WireShark или tcpdump . Второй пункт решается для начинающих аналитиков только большим количеством проанализированных фрагментов трафиков. Где найти такие фрагменты?

Готовые наборы вредоносного сетевого взаимодействия можно найти просто загуглив "malicious pcap". Неплохая подборка есть вот здесь. На первых порах лучше использовать этот трафик для понимания, как именно зловредное программное обеспечение может передавать информацию по сети. На ресурсе можно также обнаружить раздел с записанными сетевыми взаимодействиями, которые были созданы для того, чтобы научиться исследовать трафик. Попробуем проанализировать записанный трафик вредоносного программного обеспечения.

ВНИМАНИЕ: Никакие файлы и команды, найденные в записанном сетевом взаимодействии, нельзя запускать на вашей рабочей машине — анализировать эти данные нужно в виртуальной машине.

Выбранный файл сетевого взаимодействия представляет собой сетевую активность вредоносного программного обеспечения Trickbot. Так как мы не знаем, как построена сеть, где было записано сетевое взаимодействие, то выясним, какие машины вообще взаимодействуют в сети:


Всего 24 машины, достаточно много, попробуем выяснить, какие там используются протоколы:


По списку можно увидеть, что в сети используется операционная система Windows, работающая в инфраструктуре под управлением Windows AD. Поищем вредоносные сетевые взаимодействия. Обычно изучение начинается с просмотра количества информации, которая передается в рамках взаимодействия сетевых машин:


Интересным выглядит взаимодействие с ip адресом, который начинается с 149.28. Создадим фильтр:

В итоге видим такую картину:


Похоже, что на машине был открыт документ, который подгружает файл шаблона для документа MS Office. Далее находится обфусцированный скрипт на VBA:


Очевидно, что в записанное взаимодействие попал этап инфицирования ОС вредоносным программным обеспечением. Если взглянуть на вот такой фильтр:


Обнаруживаем, что сетевое взаимодействие зловреда также зашифровано. Что же делать? Ключей шифрования нет, прочесть информацию внутри пакетов не получится.

Анализ сетевого взаимодействия: сегодня и в будущем

Любые навыки анализа сетевого взаимодействия разбиваются об использование шифрования трафика. Современным стандартом шифрования в сети на прикладном уровне модели OSI является использование HTTP over TLS. Зачастую это "Game Over" любого анализа, если недоступны ключи шифрования. Как же поступить в этом случае?

Этим вопросом задаются достаточно давно. Были найдены общие подходы, которые в совокупности с контекстом сетевого взаимодействия (программное обеспечение хоста, роли машин в локальной сети) могут позволить обнаружить вредоносное сетевое взаимодействие даже без его расшифрования.

Любопытный проект можно найти здесь. Проект использует в качестве инструмента для анализа зашифрованных трафиков нейронные сети. Именно они могут позволить классифицировать преобразованные взаимодействия.

Классификация осуществляется на базе следующих данных:

длины передаваемых данных

временных таймаутов между отправкой данных

Заключение


Тем не менее, большинство людей не осознают масштаб проблем, связанных с взломанным маршрутизатором. Производители также массово производят разные устройства и не удосуживаются обновлять их, что оставляет их открытыми для атак. Фактически, киберпреступники используют это для атаки на многие маршрутизаторы.

Самый последний пример атак вредоносных программ на маршрутизаторах — это угроза VPNFilter . После масштабной атаки вредоносного ПО, которая скомпрометировала тысячи WiFi-маршрутизаторов и сетевых устройств по всему миру, ФБР срочно обратилось к владельцам дома и небольшого офиса с просьбой перезагрузить свои маршрутизаторы, чтобы предотвратить массированную атаку вредоносного ПО.

К числу угроз, создаваемых такими вредоносными программами, относятся отключение маршрутизаторов, блокирование сетевого трафика и сбор информации, проходящей через маршрутизаторы. Вы можете потерять конфиденциальную или конфиденциальную информацию и данные, что может создать огромные проблемы для вас или вашего бизнеса.

Очевидно, что никто не хочет находиться в такой ситуации, поэтому мы составили это руководство о том, как проверить маршрутизатор на наличие вредоносных программ и что вы можете сделать, чтобы его было сложнее взломать.

Признаки того, что ваш маршрутизатор заражен


Если вы подозреваете, что с вашим маршрутизатором что-то не так, есть несколько общих признаков, указывающих на возможный взлом или атаку вредоносного ПО. Среди красных флажков для проверки включают в себя:


Вот на что обратить внимание, если DNS вашего роутера был взломан:

  • Нежелательная реклама как порно объявления и другие появляются на экране в то время как вы просматриваете обычные страницы, которые вы посещаете. Эти объявления также могут быть изменены, чтобы обмануть вас.
  • Вы получаете предупреждения или уведомления, которые указывают на возможные проблемы с вашим компьютером.
  • Ваш браузер перенаправляет с популярных веб-страниц, таких как сайты онлайн-банкинга и социальные сети, на поддельные версии сайтов. Эти фишинговые сайты собирают вашу личную информацию, учетные данные для входа, иногда даже ваши банковские данные и данные кредитной карты.

Если вы все еще не уверены в том, что ваш маршрутизатор содержит вредоносное ПО или был взломан, вы можете проверить F-Secure Router. Это простой онлайн-инструмент, который быстро проверяет работоспособность вашего маршрутизатора на наличие потенциальных угроз и уязвимостей. Несмотря на то, что это не самый тщательный инструмент в использовании, с него можно начать проверять, заражен ли ваш маршрутизатор.

Что делать, если ваш маршрутизатор заражен

Если вы обнаружите, что на вашем маршрутизаторе есть вредоносное ПО, вот несколько простых шагов, которые необходимо предпринять, чтобы минимизировать ущерб.

Резервное копирование ваших данных и файлов


Перезагрузите компьютер в безопасном режиме


Защитите свой роутер и установите сильный антивирус


Это ваша первая линия защиты, поскольку она защищает ваши устройства в Интернете. Создайте надежный SSID (имя сети) и пароль и включите брандмауэр вашего маршрутизатора.

Вы также можете получить VPN (виртуальную частную сеть) для вашего дома или бизнеса, если вы хотите быть очень осторожными.

Измените ваши пароли


Если существуют учетные записи, которые были взломаны в результате атаки маршрутизатора, немедленно запросите сброс пароля и создайте более надежный. Вы также можете использовать двухфакторную аутентификацию для дополнительной безопасности.

Посмотрите внимательно на любые ссылки в ваших письмах, прежде чем нажимать на них. Если вы используете один пароль для нескольких учетных записей, измените их тоже. Безопасный менеджер паролей пригодится, если вы не можете управлять разными паролями для всех ваших учетных записей.

Другие шаги, которые вы можете предпринять, включают в себя:

Заключение

После того, как вы проверили свой роутер на наличие вредоносных программ и обнаружили, что большинство упомянутых выше признаков присутствуют, вам необходимо вылечить компьютер, чтобы восстановить его нормальную работу.

Будьте в курсе маршрутизаторов, вредоносных программ, взлома и других проблем кибербезопасности, чтобы помочь защитить ваши устройства от будущих рисков и держать вас в курсе и информировать. Таким образом, вы можете принять лучшие решения о защите вашего маршрутизатора, компьютера и мобильных устройств.


Перед каждым системным администратором рано или поздно встает вопрос об эффективности имеющихся средств сетевой защиты. Как проверить, что межсетевой экран настроен достаточно безопасно? Нужен ли потоковый антивирус и отрабатывает ли IPS? Защищена ли почта? Как правило для решения таких вопросов предлагают провести тест на проникновение (Penetration Test). Однако это либо слишком дорого, либо слишком сложно (если выполнять самому), да и не всегда нужен такой глубокий анализ. К счастью существуют online ресурсы, которые позволяют провести базовые проверки ваших средств защиты (в основном проверка межсетевого экрана и средств антивирусной защиты). Это конечно не может заменить полноценный PenTest, однако дает представление о том, насколько защищена ваша сеть от самых простых и одновременно самых распространенных типов атак.

Если вас заинтересовала данная тема, то добро пожаловать под кат…

Check Point CheckMe – Мгновенная проверка безопасности
Начать обзор хотелось бы с инструмента, который делает комплексный анализ уровня защищенности вашего межсетевого экрана (будь то UTM или NGFW). Это Check Point CheckMe.


Данный сервис включает в себя серию тестов, которая проверяет ваш компьютер и сеть на уязвимость от вымогателей, фишинга, атак нулевого дня, бот сетей, инъекций кода, использования анонимайзеров и утечки данных.

Как работает CheckMe?

  1. Пройдите по ссылке.
  2. Запустите сканирование в вашем браузере.
  3. Ваш браузер обменяется данными с сервисом CheckMe для анализа безопасности вашей сети (без какого-либо реального риска для вашей сети)

Какие угрозы проверяются?
CheckMe имитирует различные сценарии, которые могли бы стать отправной точкой для следующих векторов атак:

1) Угроза — ПО для вымогательства

Этот тест загружает тестовый файл вирус (EICAR-Test-File) через вашу сеть.

2) Угроза — Кража личных данных/ Фишинговые атаки

Этот тест генерирует подключения к фишинговым и вредоносным сайтам через вашу сеть.
Успешная попытка подключения свидетельствует, что вы могли бы стать жертвой фишинговой атаки и ваша личная информация может быть украдена.

CheckMe имитирует этот тест путем загрузки файла favicon.ico из следующих сайтов:

3) Угроза — Атаки нулевого дня

Этот тест, загружает файлы в различных форматах, которые часто используются в атаках нулевого дня.

CheckMe имитирует этот тест, загружая следующие файлы:

4) Угроза — Атака на браузер

Этот тест проверяет, защиту вашей сети от Cross-Site Scripting (XSS), инъекций SQL и инъекций команд.

CheckMe имитирует этот тест путем подключения к следующим тестовым сайтам:

5) Угроза — Инфицирование ботом

6) Угроза — Использование анонимайзеров

7) Угроза — Утечка конфиденциальных данных

Все тесты безопасны и не представляют никакого риска для устройств пользователя и сети!
Администратор может увидеть предупреждения в системе безопасности, которые уведомляют о моделировании испытаний.

Тест от Fortinet

Также будет интересна проверка, которую предоставляет Fortinet. Тест не такой комплексный и в общем смысле проверяет различные способы доставки тестового вируса (eicar). Проверяется возможность скачивания файла eicar в открытом виде, в виде архивов различной степени вложенности (архив в архиве — до 10 степеней вложенности). Сами архивы нескольких видов: zip, rar, tar, cab, 7zip. Также есть запароленный архив. По результатам вы сможете увидеть с каким типом угроз ваши системы не справляются.

Здесь мы также можем скачать тестовый файлик и возможны следующие варианты:


Online песочницы (sandbox)

Не буду подробно рассматривать вопрос “Что такое песочница?”, тем более, что чуть позже мы посвятим этому небольшой цикл статей. Основная задача песочниц — запустить файл и посмотреть, что после этого будет. По результатам выдается вердикт о вредоносности этого файла. Песочницы помогают бороться с зловредами, которые обычные антивирусы никак не определяют. Есть несколько online сервисов, где вы можете проверить файлы в песочнице:

Online антивирус

Здесь можно было бы привести десятки ссылок, т.к. почти каждый уважающий себя антивирус имеет online сканер. Однако почти все эти ссылки можно заменить одной — VirusTotal

Ресурс позволяет сканировать файлы и ссылки на предмет зараженности. При этом анализ производится с помощью множества антивирусов и можно видеть вердикт по каждому из них.
Очень интересен функционал проверки url. С помощью него вы сможете проверить эффективность вашего Proxy или средства защиты Web-трафика. Найдите вирусный сайт, проверьте его в virustotal, а затем посмотрите откроется ли он через ваш proxy.

Online Firewall и Port Scanners
Эти инструменты могут также пригодится при тесте своей сети:

EmailSecurityCheck
Данный ресурс позволит проверить защищенность вашего почтового сервера. Для этого будет отправлено несколько писем с тестовыми вирусными файлами, которые упакованы различными способами. Если любое из этих писем вы все же получили, то это повод задуматься над безопасностью вашего email-сервера.

Воспользовавшись приведенными сервисами можно сделать некоторые выводы относительно эффективности существующих средств защиты. Обратите внимание не только на эффективность защиты, но и на процесс обнаружения инцидентов. Вы должны быть максимально информированы о всех ИБ событиях. Достигается это либо с помощью встроенных средств (email alert, dashboard-ы устройств и т.д.) либо сторонних (SIEM или Log-managment системы).

Следующим логичным шагом будет проведение аудита сетевой безопасности. Это можно сделать как с помощью CheckPoint, так и с помощью Fortinet, причем бесплатно. Более подробно об этом можно почитать здесь и здесь. Мы уже частично описали архитектуру решений Check Point и в следующих постах опишем, как с его помощью сделать бесплатный аудит безопасности сети.

Как проверить сайт на вирусы

8 лет работаю удалённо и создаю различные источники дохода. Строю бизнес в интернете и активно инвестирую.

Наверное, вы слышали про вредоносные программы, которые могут красть данные, ломать приложения. В общем, портить жизнь простым пользователям. Их называют вирусами и они бывают не только на компьютерах. Ваш сайт тоже может быть заражен вирусами, ввиду чего и вы, и ваши посетители окажетесь в зоне риска.

Сегодня я расскажу о том, как проверить сайт на вирусы. Мы поговорим про онлайн-сервисы и плагины для WordPress. Здесь же будут представлены и другие варианты. Какие именно – узнаете в самом материале. Давайте к делу!

Чем опасны вирусы?

Вредоносный код не зря называется вредоносным. Скрипт, загруженный внутрь вашего сайта может делать все что угодно. Красть данные аккаунтов, внедрять вирусы на компьютеры пользователей, воровать деньги и даже полностью блокировать устройство, которое используется для просмотра ресурса.

Поэтому безопасность должна для вас стать одним из самых главных аспектов при работе над проектом. Если не уделять этому должного внимания, то есть риск получить очень большие проблемы. Поисковые системы просто выкинут ваш сайт из ранжирования, вы потеряете весь трафик и доход.

Если на ресурсе слишком часто будут появляться рецидивы – появление новых вирусных кодов, которые будут определяться поисковыми системами, то вполне возможны и более серьезные санкции.

Как создать сайт

Например, я использую расширения от Аваста и Касперского. Они показывают мне актуальную информацию о ресурсе, на который я хочу перейти из поиска: зеленый – все хорошо, серый – сайт неизвестен, красный – обнаружены вирусы. Вполне возможно, что даже после “лечения” ваш сайт останется “красным” в глазах этих расширений. Тогда пользователи, которые используют их, уж точно будут игнорировать ваш сайт. Трафик может просесть просто колоссально.

Как не допустить заражения?

Как говорят все стоматологи – лучше изначально следить за зубами, чем потом ходить и устранять последствия. Здесь точно такой же принцип. Лучше сразу обезопасить себя и свой проект, чтобы потом не иметь никаких проблем с поисковыми системами, банковскими карточками или своим собственным компьютером.

Чтобы не подвергать себя риску, вы должны пользоваться рядом правил. Вот они:

  • Установить Антивирус на свой ПК и всегда поддерживать его базы в актуальном состоянии.
  • Обновлять свою операционную систему, особенное внимание уделять обновлениям безопасности.
  • Обновлять свою CMS, различные модули.
  • Установить плагины для обеспечения безопасности (для WordPress).
  • Не давать доступ к админке и FTP абы кому. Вполне возможно, что именно он занесет вирусы на ваш сайт.
  • Изредка проверять сайт в представленных ниже сервисах.

Выполняя все эти условия, вы сможете повысить безопасность своих сайтов. К слову, очень часто вирусы плодятся на ресурсах без CMS. Коды внедряются в статичные HTML-файлы и достать их оттуда порой очень сложно. Лучше использовать CMS, даже для простых сайтов. Ну или постоянно проверять все файлы. Сами решайте, что для вас удобнее.

Давайте разберемся в том, как проверить ресурс на наличие вирусов с помощью разных онлайн-сервисов или специальных приложений.

Диагностика

Осуществить поиск вирусов можно несколькими способами. Среди них я выделил онлайн- и офлайн-инструменты, а также плагины для WordPress.

Онлайн-сервисы для проверки

В интернете можно найти очень много разных онлайн-сервисов. Они помогут вам произвести сканирование в реальном времени – просто вводите ссылку на свой ресурс, нажимаете кнопку, спустя какое-то время получаете результат. Удобно, ничего не скажешь.

Одним из таких сервисов является модуль на 2IP. Выглядит он так.

Проверка на вирусы через 2IP

Вводите URL в поле и кликаете на “Проверить”. Результаты не заставят себя ждать. Если все хорошо, то вы увидите окно с итогами проверки.

Результаты 2IP

Если нет, то вместо него будет предупреждение. Скорее всего и Google, и Яндекс будут уже считать ваш сайт небезопасным. В таком случае к лечению лучше приступить немедленно. Санкции не заставят себя ждать.

Мой любимый сервис. VirusTotal очень удобен, есть поддержка русского языка. Сама проверка здесь реализована с помощью большого количества известных антивирусных приложений.

Проверка на вирус сервисом VirusTotal

Даже такие гиганты, как Касперский, Авира, Аваст, Доктор Веб, участвуют в проверке файлов и ссылок. Все результаты доступны в виде удобной таблицы, где по каждой программе есть свой вердикт. Если хотя бы одно приложение сигнализирует о наличии вредоноса – стоит задуматься.

Переключаемся во вкладку “URL-адрес”, вводим нужный адрес и нажимаем на синюю кнопку “Проверить”. Спустя непродолжительное время, сервис даст нам результаты. Выглядеть они будут примерно так.

Результаты проверки VirusTotal

Если какой-то из 67 антивирусов обнаружит вредоносный код, то показатель выявлений будет соответствовать числу приложений.

С помощью ВирусТотала можно сканировать не только сайты, но и различные файлы. Сервис, который точно стоит добавить себе в закладки.

Старенький сайт, который все еще пользуется определенной популярностью среди вебмастеров.

Antivirus Alarm

Принцип действия Antivirus Alarm такой же: вводите адрес, получаете результат после нажатия на кнопку “Проверить”. Он представлен вот так.

Результат проверки сайта

Проверка с использованием десятков антивирусных программ поможет вам наиболее точно определить наличие вредоносных скриптов на своем проекте.

Офлайн-проверка

Вы также можете использовать офлайн-приложения, например те же антивирусы для проверки файлов своего проекта. Нужно вытащить корневую папку на жесткий диск, сделать это можно при помощи FTP-клиента или файлового менеджера. После этого процедура проверки не будет отличаться от проверки обычных файлов.

Для более точного результата при офлайн-проверке я рекомендую использовать одно из этих решений:

  • Антивирус Касперского,
  • Доктор Веб,
  • Аваст,
  • Авира,
  • ESET NOD32,
  • Norton.

Это наиболее популярные и проверенные программы, которые покажут действительно правильную информацию.

Плагины для WordPress

Проверить сайт на ВордПресс можно при помощи плагинов. Сейчас их очень много, а с каждым днем становится еще больше. Работают они по тому же принципу: вы устанавливаете и активируете плагин, запускаете проверку, после чего вам показываются результаты. Некоторые плагины предлагают автоматическую очистку от вредоносов, но об этом далее.

Лечение

Как вылечить сайт от вирусов? Вы должны убрать с него вредоносный код. Это можно сделать как вручную, так и при помощи различных скриптов или программ. Например, в том же WordPress есть большое количество плагинов, которые помогают не только диагностировать наличие вирусов, но и вылечить их. Причем решения-то бесплатные.

Если ваш ресурс добавлен в Yandex Webmaster или Search Console, вы можете получить более подробную информацию по лечению. Вам предоставят ссылки на файлы, которые были заражены, а вместе с ними и участки кода. Вредоносный код, как правило, представлен в виде.

Вредоносный код

Это Base64 – вид шифрования, который очень часто используется на разных сайтах. Туда можно запихнуть и стили CSS, и JS-коды. Запихнуть вредонос уж точно труда не составит.

В Яндекс Вебмастере вы сможете получить всю необходимую информацию.

Но если вы используете WordPress, то лечение сайта от вирусов вообще не должно вызывать у вас затруднений. Можно в любой момент установить плагин. Он сам проверит все файлы, сам выявит вредоносные и сам их удалит. Вам нужно просто нажать пару кнопок.

Для установки любого из плагинов вы должны перейти в каталог, выбрать “Плагины” – “Добавить новый” и вести ключевое слово, после чего вам будет представлено большое количество разных плагинов.

iThemes Security

Простой плагин, который ранее имел название Better WP Security. Функционал очень большой, поэтому iThemes Security очень часто рекомендуют установить в самом начале, еще до заражения. Огромное количество опций позволит вам избежать заражения. Это ведь куда лучше, чем потом разбираться с последствиями, правда?

Плагин работает в полуавтоматическом режиме. Вам нужно лишь зайти в настройки и раскидать следующие параметры.

Настройки iThemes Security

Wordfence Security – Firewall & Malware Scan

Еще один плагин с миллионом активных установок. Помогает точно определить наличие вредоносного кода в файлах ресурса, после чего планомерно удалить все, используя современные инструменты.

Здесь же есть функционал, который помогает обеспечить безопасность сайта и не допустить проникновения туда вредоносов. Среди прочего: фаерволл, настройки безопасности, отключение опасных функций WordPress.

Установить можно прямо из каталога, полностью бесплатное решение. Но тут, как и в большинстве плагинов, есть своя платная расширенная версия. Как заявляют вебмастеры, бесплатной вполне хватает.

Интуитивно понятные настройки помогут вам разобраться во всех опциях модуля. В принципе, для использования достаточно принимать во внимание все подсказки, которые находятся возле самих опций. Они на английском, но с онлайн-переводчиком это не станет проблемой.

Sucuri Security – Auditing, Malware Scanner and Security Hardening

Еще одно решение, которое обладает стандартными для таких плагинов функциями.

Сканер на вирусы, фаерволл и опции, которые помогут повысить безопасность сайта. Последние включают в себя защиту файлов, отключение опасных функций (которые по умолчанию могут быть активированы даже на чистой версии WordPress), отключение редакторов и установка правильных прав на файлы.

Заключение

Как видите, безопасность важна даже для вебмастера. Вирусы могут поселиться в файлах проекта и “испортить всю малину”. Падение трафика, кража личных данных и денег, полное уничтожение репутации в глазах пользователей и поисковиков – это еще далеко не все последствия, которые могут ожидать вас в случае заражения.

Но если вы хотите разбираться в сайтах как в своих пяти, уметь правильно создавать информационные контентные ресурсы для заработка, монетизировать их и получать большой доход, то курс Василия Блинова “Как создать блог” – это то, что вам нужно. Актуальная информация, поданная в удобном виде, поможет вам в кратчайшие сроки освоить это ремесло. Переходите по ссылке, если хотите увидеть подробности.

Читайте также: