Содержательная часть поста очень короткая и почти совпадает с заголовком: да, действительно, с недавнего времени Рейтинг Mail.Ru проверяет установившие счетчик сайты на вирусы и при возникновении подозрений предупреждает письмом веб-мастера. Свой антивирус мы не писали, а использовали технологию наших партнеров. Но кроме этого краткого анонса, есть ещё два интересных вопроса, которые хотелось бы осветить чуть подробнее. Это вопросы «зачем?» и «как?».
Начнем с «зачем». Как смешно и парадоксально это ни звучит, но в 2015 году вирусы на сайтах всё ещё существуют. Да, действительно, на крупных проектах масштаба Mail.Ru или Amazon срабатывание антивируса, скорее всего, означает false positive на какой-нибудь особенно хитрый рекламный или аналитический код. Последний из пришедших мне в голову случай червя на большом проекте относится, оказывается, аж к 2007 году (как вчера было…). Вряд ли он действительно последний, но по сравнению со случающимися чуть ли не раз в месяц громкими утечками паролей — разница огромная.
С малыми сайтами совсем другая картина. С точки зрения защиты от распространения вирусов, они застыли в далеком прошлом. Установленные из непроверенных источников компоненты и пароль «123456» к админке по-прежнему встречаются непозволительно часто, а установившие их веб-мастеры по-прежнему считают, что всё в порядке. Конкретные цифры мы узнали уже после запуска проверки, но большой неожиданностью они не стали: из примерно миллиона сайтов наших клиентов заражены оказались более 11 тысяч. И их, конечно, надо об этом предупредить. Сказано — сделано, и тут мы плавно переходим к вопросу «как».
Можно было либо делать все самим, либо найти компанию, у которой есть нужное нам решение. Понимая, что диагностика сайтов — задача достаточно специфическая и для нас не профильная, мы склонились ко второму варианту: решили найти подходящую компанию. Как оказалось, по сумме характеристик оптимальным для нас вариантом оказался относительно молодой российский сервис «Вирусдай» (virusdie.ru). Это облачный антивирус и фаервол, который, помимо прочего, обнаруживает вирусы на сайтах и предотвращает повторные заражения. На тестовых выборках их результаты были не хуже именитых конкурентов, при этом отсутствовали технические ограничения по производительности (а нам предстояло работать с миллионами сайтов) и, что немаловажно, с ними было легко договориться.
Создание нового сервиса
Как для нас, так и для «Вирусдай» подобного рода сотрудни��ество было первым, так что программировать пришлось на обеих сторонах. Ранее их код всегда внедрялся на стороне клиента. Теперь они подняли отдельное API для внешней проверки сайтов, а мы добавляем и удаляем из него URL'ы. Антивирусный бот обходит свою базу раз в сутки. На основании проверки он генерирует отчёт, в котором содержится:
- список обнаруженных заражений;
- список подозрительных активностей и файлов;
- информация о том, находится ли проверенный сайт в каких-либо чёрных списках (в рамках программ SafeBrowsing).
Также раз в сутки мы рассылаем оповещения новым «заболевшим». Кроме того, немедленная проверка происходит и при добавлении нового сайта в Рейтинг.
Инновационная архитектура нашего взаимодействия.
Результат
Итак, теперь у нас в Рейтинге Mail.Ru появился новый раздел «безопасность сайта», в котором приводится результат проверки сайта сервисом «Вирусдай» с подробным описанием вынесенных вердиктов и рекомендаций. Кроме того, мы дополнительно извещаем наших пользователей о появившихся угрозах на их сайтах, направляя им электронные письма.
Проверка всех сайтов проводится раз в сутки, и каждый наш пользователь теперь получает актуальную информацию о состоянии безопасности своего сайта. Согласно нашей статистике, чаще всего встречаются вредоносные редиректы и несанкционированные рекламные блоки (в сумме около 40% случаев). Топ 10 выглядит следующим образом:
- Trojan.Inject
- Iframe.hidden.2
- Eval.hexencoded
- Trojan.Inject.HideUrl
- Doubt.JS.eval.unescape
- JS.BlacoleRef
- Doubt.Doc.write.unescape
- HTML.BlacoleRef
- DOM.iframe.hidden.1
- Doubt.101widgets
Ни одна компания, специализирующаяся на антивирусной защите, не может гарантировать 100% или даже 99% надежность предложенного сервиса. Тем не менее, жалобы на ложное обнаружение вирусов в данный момент единичны. Количество пропущенных угроз мы оценить не готовы, но каким бы оно ни было, вирусов в Рунете всё же стало меньше — уже как минимум 1000 сайтов были очищены благодаря внедрению этого сервиса.
И вместо заключения — несколько слов о нашем партнере, компании «Вирусдай», рассказывают они сами:
Концепция сервиса «Вирусдай» достаточно проста: он позволяет устранить вредоносный код (вирусы, шеллы и т.д.) на сайтах в автоматическом режиме и при этом не нарушить работоспособность веб-ресурса. Также мы предоставляем фаервол для защиты сайта, который устанавливается автоматически и не требует никакой настройки. К сервису можно подключить неограниченное число сайтов и управлять всеми инструментами непосредственно через личный кабинет. «Вирусдай» очень прост в использовании и предназначен не только для веб-мастеров, но и для владельцев сайтов, не обладающих специальными знаниями или навыками.
