# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  >  Новый сервис по проверка сайтов на вирусы

## Climat

*У нас новый сервис!*
С сегодняшнего дня проверяем сайты на наличие вирусов..
Размещаете нашу кнопочку и сайт ежедневно смотрит паук.
кнопочка
Предусмотрено два варианта:
1. платный - 3 wmz в год с кнопкой в <noindex><nofollow>
2. бесплатный - просто с установкой кнопки..
Подробности смотрим здесь

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## DVi

Проверка ведется через анонимные прокси, надеюсь?

*Добавлено через 4 минуты*

Прочитал



> Вы размещаете у себя нашу кнопку 88*31 и страница будет ежедневно проверяться антивирусом. При обнаружении вируса кнопка станет красного цвета и появится соответствущая надпись.


Т.е. предлагается разместить некую кнопку на некой странице и периодически просматривать эту страницу? Я правильно понимаю, что при заражении этой страницы юзер сначала получит свою порцию заразы, а потом увидит красную кнопку?
Я уж не говорю о том, что кулхацкер при внедрении своей заразы на страничку просто сотрет эту кнопку.
Гениально  :Undecided: 

Идея понятна - собрать базу страничек по referrer и ходить по этой базе пауком. В принципе, доля конструктива тут есть. Нужно лишь изменить набор действий по факту обнаружения изменений в коде странички.

----------


## PavelA

Да еще и клики пособирать.

----------


## Зайцев Олег

> Идея понятна - собрать базу страничек по referrer и ходить по этой базе пауком. В принципе, доля конструктива тут есть. Нужно лишь изменить набор действий по факту обнаружения изменений в коде странички.


Выйдет аналог моего паука в миниатюре. А вот ТИЦ (Тематический Индекс Цитирования) у такой службы будет огромным  :Smiley:

----------


## Climat

> Идея понятна - собрать базу страничек по referrer и ходить по этой базе пауком. В принципе, доля конструктива тут есть. Нужно лишь изменить набор действий по факту обнаружения изменений в коде странички.


Одновременно с обнаружением вирей на почту, укакзанную при регистрации, отправляется письмо.. если будет востребованность, то можем и смс отправлять..

По поводу тиц - в платном варианте тиц не передается  :Smiley:

----------


## Зайцев Олег

> Одновременно с обнаружением вирей на почту, укакзанную при регистрации, отправляется письмо.. если будет востребованность, то можем и смс отправлять..
> 
> По поводу тиц - в платном варианте тиц не передается


В случае, если сайт взломан и у него высокая посещаемость, то будет слудующее:
1. Пострадают тысячи человек (или десятки-сотни тысяч - все от посещаемости зависит). За несколько часов все завсегдатаи без антивирусов "огребут по полной программе". В этом состоит главная цель тех, кто заражает сайты - внедрить эксплоит, заразить максимально быстро и максимально много народу - главный эффект на первые 1-2 часа, потом обычно взлом за
2. Сотни (тысячи, десятки тысяч) посетителей будут с антивирусом - следовательно, получат сообщение о том, что сайт заражен и заблокирован, начнут писать админам сайта и ругаться. Это явно произойдет быстрее, чем за сутки
3. Эффект для юзеров нулевой - он зайдет, огребет вирус, и увидит предпреждение об этом. 
4. Применение антивируса X приведет к тому, что антивирус X совершенно не факт, что продетектит новые эксплоиты в коде страницы. Особенно в случае, если эксплоит ведет скажем на некий сайт Y, оттуда редирект с задержкой на Y1, там еще база черных IP и т.п. - в результатет эффективность такой проверки будет крайне низкой

----------


## Climat

Если у Вас десятки или сотни тысяч посетителей, то безусловно, лучше взять выделенный сервер и на нем поставить CLAM - это даст больше гарантий..
По поводу того, что администратору сайта все начнут звонить и писать - не факт, что наше письмо (или смс) не придет быстрее.. проверка проводится существенно чаще, чем раз в сутки (декларируется - ежедневно).
Редирект с задержкой на Y1, конечно же, может быть проблемой, но эта проблема частная и может быть решена..
К антивирусу Х мы скоро добавим антивирус Y, так что надежность существенно повысится.. и не будет уже в Ваших глазах "крайне низкой"..  :Smiley: 
В любом случае, спасибо за критику  :Smiley:

----------


## DVi

> В любом случае, спасибо за критику


Я вот сейчас подумал про свой первый вопрос об анонимных прокси. И, пожалуй, я его сниму - ведь ваш паук вряд ли будет ходить за пределы одного исследуемого сервера, а значит бан по IP ему не грозит.

Вот еще один вопрос: паук эмулирует ява-скрипт?

----------


## Зайцев Олег

> Я вот сейчас подумал про свой первый вопрос об анонимных прокси. И, пожалуй, я его сниму - ведь ваш паук вряд ли будет ходить за пределы одного исследуемого сервера, а значит бан по IP ему не грозит.


Да, но я думаю нужно учесть, что это эффективно, если:
1. антивирус X сможет продетектить в страничке сайта эксплоит. А если это будет редирект за пределы исследуемого сайта, то это млжет быть безобидный редирект, или зловредый. Аналогично например с внешней картинкой, джайвой и макромедией - это или баннер, или зловред. И вот на этих сторонних сайта как раз и будет черный список
2. Та самая JAVA - т.е. скрипт для обфускации кода, его шифровка  и т.п. 

Плюс если на взломанном сайте применяется PHP и хакер чуть-чуть постарается, то кому нужно PHP скрипт вернет чистую страничку, а всем остальным - зараженную (например вспомним пример, что я приводил в обсуждении on-line проверки URL у DrWEB - мой скрипт PHP выдавал пауку безобидную текстовую страничку, всем остальным - EICAR Test file).
Плюс последствие 1 - дважды выдавать вируса одному и тому-же юзеру нет смысла, поэтому нередко стоит авто-бан - первый раз выдается вирус, второй раз - заглушка. Т.е. первый раз паук получит вирусяку, выдаст тревогу, проверит через час и т.п. - все "чисто".
Плюс еще тот факт, что мне попадалась масса взломом, когда ломается скажем не стартовая страничка, а форум, или странички где-то в глубине сайта - в результате получаеться, что нужно сканировать весь сайт, а это сотни/тысячи/миллионы страницы

----------


## DVi

> ... это эффективно, если:
> 1. антивирус X сможет продетектить в страничке сайта эксплоит. ...
> 2. Та самая JAVA - т.е. скрипт для обфускации кода, его шифровка  и т.п.


Если страничка статичная, то вместо антивируса можно просто детектить изменение файла по сравнению с оригиналом. 
Если же страница динамическая (PHP, Java, баннеры и прочие прелести цивилизации), то такой сервис все равно бесполезен, ибо каждому зашедшему на страницу будет выдаваться свой уникальный контент, не совпадающий с проверенным пауком.

----------


## Зайцев Олег

> Если страничка статичная (т.е. без server-side-скриптов), то вместо антивируса можно просто детектить изменение файла по сравнению с оригиналом. 
> Если же страница динамическая (PHP, Java, баннеры и прочие прелести цивилизации), то такой сервис все равно бесполезен, ибо каждому зашедшему на страницу будет выдаваться свой уникальный контент, не совпадающий с проверенным пауком.


Согласен. А так как сейчас из-за засилья CMS почти все сайты с динамическим контентом, то вывод собственно понятен. А если еще участь разные вставки типа баннеров или вставок рекламы от магазинов (тоже динамика, меняется от запроса к запросу), то эффект проверки сводится к нулю

----------


## santy

> Плюс если на взломанном сайте применяется PHP и хакер чуть-чуть постарается, то кому нужно PHP скрипт вернет чистую страничку, а всем остальным - зараженную (например вспомним пример, что я приводил в обсуждении on-line проверки URL у DrWEB - мой скрипт PHP выдавал пауку безобидную текстовую страничку, всем остальным - EICAR Test file).


Олег, это способ обхода линк-checker-а?

----------


## DVi

> Олег, это способ обхода линк-checker-а?


Один из многих.

----------


## Зайцев Олег

> Олег, это способ обхода линк-checker-а?


Да, как правильно заметил DVi "один из многих". У меня была простейшая реализация, на десять строчек кода - и ее вполне хватило для нейтрализации линк-чекера

----------


## Climat

> Плюс если на взломанном сайте применяется PHP и хакер чуть-чуть постарается, то кому нужно PHP скрипт вернет чистую страничку, а всем остальным - зараженную (например вспомним пример, что я приводил в обсуждении on-line проверки URL у DrWEB - мой скрипт PHP выдавал пауку безобидную текстовую страничку, всем остальным - EICAR Test file).


Обсудили у себя - это довольно легко решается..



> Плюс последствие 1 - дважды выдавать вируса одному и тому-же юзеру нет смысла, поэтому нередко стоит авто-бан - первый раз выдается вирус, второй раз - заглушка. Т.е. первый раз паук получит вирусяку, выдаст тревогу, проверит через час и т.п. - все "чисто".
> Плюс еще тот факт, что мне попадалась масса взломом, когда ломается скажем не стартовая страничка, а форум, или странички где-то в глубине сайта - в результате получаеться, что нужно сканировать весь сайт, а это сотни/тысячи/миллионы страницы


Если Вам нужно  - ставьте кнопку на все страницы - будем все страницы проверять, хотя опыт говорит, что обычно страдают главные страницы (главные страницы подразделов)

----------

