Сегодня компания Яндекс, совместно с Григорием Земсковым из компании "Ревизиум" анонсировали совместный продукт - антивирус для сайтов Manul. Естественно мы не могли пройти мимо такого замечательного события и решили испытать этого "зверя".
Забегая наперёд, хочется сказать - мы были полностью разочарованы и считаем, что данный продукт может принести больше вреда, чем пользы, особенно для обычных пользователей сайтов, которые сталкиваются с заражением сайта впервые и ничего во вредоносном коде не понимают.
Мы решили испытать Manul на двух сайтах - один сайт на Joomla, правда с дополнительными расширениями (заведомо чистый), а второй - большой интернет-магазин на Bitrix (взломанный и содержащий вредоносный код).
Суть проверки сайта антивирусом такова:
1. Скачиваем архив с антивирусом со специальной страницы на Яндексе, распаковываем в корень сайта и переходим в браузере по адресу ваш_сайт/manul. Дальше предлагается задать пароль и начать сканирование. Антивирус в начале собирает информацию о всех файлах, затем их сканирует.
2. После сканирования антивирус выдаёт архив с отчётом, который нужно загрузить в специальный анализатор и после этого его можно будет посмотреть.
3. В анализаторе можно посмотреть список файлов сайта, какую оценку им дал антивирус, увидеть сигнатуру, по какой manul отнёс файл к подозрительному или вредоносному, а также нажимая кнопки Удалить и Карантин, сформировать скрипт-предписание, который можно выполнить уже на самом сайте в Manul и тем самым вылечить сайт.
Запущенная нами проверка на Битриксе до конца так и не дошла. Оборвалось всё ещё на этапе сбора информации о файлах, которых в Битриксе не мало, и в итоге мы получили:
Ну да ладно, Битрикс действительно большой, Joomla ведь поменьше. Сканирование заведомо чистого сайта на Joomla у нас завершилось и мы получили архив с отчётом, который загрузили в анализатор. И увидели, что у нас один файл оказывается вредоносный и несколько сотен подозрительных.
Вот здесь начинается самое страшное.
Manul ищет по сигнатурам (участкам кода). Базу сигнатур собирали с реальных вредоносных файлов, обнаруженных на реально взломанных сайтах. Но! Где гарантия того, что кто-то не использует точно такой же участок кода в абсолютно нормальном файле? Особенно куча обнаружений будет в платных скриптах, где разработчики кодируют некоторые файлы. Вот и у нас один файл оказался по мнению Manul-а вредоносным.
Что сделает обычный пользователь, который решил вылечить свой сайт самостоятельно, увидя кучу вредоносных файлов? Естественно пометит их к удалению и в итоге удалит, после чего есть огромная вероятность, что его сайт совсем перестанет работать.
И при этом ещё и наделает кучу проблем тем, кто после этого всего будет лечить его сайт.
Стоит так же заметить, что лечение, без определения и закрытия уязвимостей - пустая трата времени, через некоторое время сайт будет взломан снова. Да и нет гарантии, что Manul найдёт всё, ведь нужной сигнатуры может и не быть.
Исходя из этого, вывод очевиден:
Затея, конечно хорошая, но очень опасная и в некотором роде бесполезная. Manul можно использовать для проверки своего сайта на наличие вредоносного кода, но ни в коем случае нельзя использовать для бездумного лечения, особенно тем, кто мало разбирается в том, что он делает.
Alex Volkov, WebPatron.
UPD. Яндекс прекратил разработку и поддержку своего антивируса. RIP Манул: (
Совместно с компанией Revisium, Яндекс выпустили антивирус для сайтов под названием Манул. Этот антивирус позволяет сканировать и удалять обнаруженные на сайте вирусы на стороне сервера.
После его установки антивирус Манул сканирует файлы сайта, в корневой директории которого он расположен. При сканировании файлы проверяются на наличие вредоносного кода. После окончания проверки антивирус сохраняет отчет, к которому прикладывает подозрительные участки кода.
На сайте Яндекса так же есть отдельный инструмент для анализирования логов антивируса Манул, который обрабатывает и предоставляет отчет в виде таблицы, где можно произвести сортировку файлов по различным свойствам.
Для разных версий популярных движков сайтов, анализатор применяет дополнительные белые списки, чтобы исключить из отчета дистрибутивные файлы. В процессе работы над списком можно сформировать скрипт для удаления подозрительных файлов сайта с сервера или отправки их для анализа разработчикам антивируса.
Проект открыто разрабатывается и доступен публично для скачивания всеми желающими с GitHub , так же он доступен в сервисе Я.Вебмастер.
Процесс установки и использования Манул
Системные требования антивируса крайне неприхотливые. Он может работать начиная с версии PHP 5.2. Последняя версия антивируса находится по адресу http://download.cdn.yandex.net/manul/manul.zip
Переходим в ISPmanager -> www-домены -> выбираем нужный веб-домен, который требует проверки и нажимаем кнопку “Каталог” для перемещения в корневой каталог сайта с помощью файлового менеджера
После загрузки архива на сервер, распакуйте его в корневую директорию сайта
Интерфейс Манула максимально прост. При первом запуске потребуется задать пароль для доступа в административную панель Манула. Это должен быть достаточно сложный пароль с использованием не менее 8 символов разных регистров и цифр.
Первым открывается режим сканирования. Можно воспользоваться настройками по умолчанию (в них указывается только интенсивность запросов в секунду) и сразу начать сканирование.
После завершения сканирования будет предложено скачать отчет о проделанной работе:
Проверка завершена!
Нажмите на кнопку (какую), чтобы сохранить отчёт о проверке на жёсткий диск.
По соображениям безопасности мы не рекомендуем публиковать отчёты Manul в открытом доступе.
Теперь полученный лог отчета загружаем в анализатор на сервере яндекса. После обработки будет выведен отчет обо всех файлах сайта. Каждый файл может быть отмечен как чистый (белый маркер), подозрительный (желтый маркер) и зараженный (красный маркер).
Также с каждым файлом можно произвести действия (поместить в карантин или удалить), а также посмотреть участок кода, который был распознан как подозрительный или опасный
После того, как выбраны файлы на удаление, скопируйте предписание и поместите в поле “Предписание”, которое скрывается под вкладкой “Лечение” в интерфейсе Манула.
После завершения всех операций над файлами сайта, антивирус можно удалить кнопкой “Удалить Manul”.
Каждый веб-мастер, не смотря на защиту, должен быть готов к возможной потенциальной "поломке" сайта за счет работы различных вирусов и вредоносных скриптов.
В этом случае отлично помогает создание своевременной резервной копии, при помощи которой можно восстановить сайт в работоспособном виде. Однако, к сожалению, не все сайтостроители об этом задумываются, пока сами не столкнуться с подобными проблемами.
Соответственно, решение проблемы остается одно - проверить сайт на наличие вредоносного кода и удалить его. Для решения данной задачи могут помочь различные веб-антивирусы или сканеры. Работу одно из них мы и рассмотрим.
Антивирус от компании Яндекс
Манул (анг. manul) - бесплатная антивирусная утилита с открытым исходным кодом, которая собирает структурированную информацию о файлах сайта и на её основе генерирует лечащий скрипт (карантин/удаление).
Для запуска и работы утилиты Manul на сервере должна быть полноценная поддержка PHP версии 5.2 и выше (данную информацию можно уточнить у хостинг-провайдера).
Данный антивирус разрабатывался при участии компании Ревизиум, многим известная как создатель популярного скрипта Ai-Bolit , который является мощным сканером вирусов и вредоносных скриптов на хостинге.
Принцип работы антивирусной утилиты Manul
- Антивирусная утилита скачивается с официального сайта;
- Файлы утилиты размещаются в корневой директории сайта при помощи FTP;
- Для запуска в адресной строке браузера прописывается: адрес_сайта/manul/index.php;
- Создается пароль, чтобы никто, кроме вас, не смог воспользоваться утилитой;
- Запускается сканирование файлов сайта Вашего хостинга;
- После успешного завершения сканирования будет предоставлен архив с отчетом в файле.xml, который необходимо скачать;
- Данный отчёт загружается в специальный онлайн-сервис "Анализатор";
- На основе данных генерируется "лечащий скрипт";
- В утилите Manul открывается вкладка "Лечение" и вставляется в специальное поле ранее скопированный код лечащего скрипта для выполнения.
Приступим к более детальному видео обзору веб-антивируса Manul. В качестве примера будет использован хостинг сайта . Параллельно работоспособность утилиты будет проверена на локальном сервере (последняя сборка пакета Denver). В результате, посмотрим на что он способен и стоит ли его вообще использовать.
24 апреля 2015 г. Яндекс выложил в свободное пользование антивирусную утилиту, дабы помочь вебмастерам самостоятельно проанализировать свой сайт, чтобы заранее удалить вредоносный код, скрипт. Такая возможность позволит вам вручную просканировать сайт на наличие вирусов.
Достаточно пройти по официальной ссылке от Yandex. Скачав данную утилиту вы смело можете загрузить zip архив на свой хостинг, далее вам нужно распаковать содержимое и в строке браузера написать следующий пример: URL вашего сайта/путь к файлу manul/index.php..php Если все сделано правильно тогда вы должны увидеть это окно:
Здесь вы должны создать свой пароль. На данный момент утилита предусматривает 4 языка – русский, английский, украинский, турецкий. После вам нужно нажать – "начать сканирование"
Как видите поиск пошел значит все правильно делаете.
По ходу сканирования у вас могут появиться разные типы ошибок. В моем случае на разных сайтах у меня появлялось следующее:
И вот ещё ошибка
В обоих случаях видно, что Яндекс ещё не до конца проработал все моменты данного инструмента. Поэтому обновления в любом случае должны быть.
Как утверждают разработчики Яндекса при полном анализе сайта, каждый файл досконально проверяется и в случае обнаружения вируса должен выдать красный флажок.
К примеру как здесь:
Файлы прошедшие проверку через утилиту Манул должны помечаться тремя цветами:
зеленый (все в порядке);
желтый (подозрительный код;
красный (вирус).
Если в вашем случае вирус или вредоносный код был обнаружен вам следует нажать на вкладку Лечение в левом верхнем углу. И скопировать предписание в поле для дальнейших действий. Есть большая вероятность того, что Утилита Manul может в скором времени может составить сильную конкуренцию похожим программам. Проект Manul использует открытый код, это дает большие возможности многим программистам улучшать и адаптировать данную утилиту под собственные нужды. Тем более его можно скачать полностью бесплатно через Яндекс Вебмастер.
Привет, друзья IdeaFox!
Как-то тихо и незаметно прошло интересное событие, о котором мало кто написал. Ладно, восполню пробел, раз все молчат=)
Дело в том, что Яндекс выкатил собственную версию антивируса для сайтов, который весьма неплох для поиска вирусов в особо тяжелых ситуациях.
Но есть пара ложек дегтя, которые портят всю картину, но об этом ниже.
Я много раз писал на блоге, что не нужно пренебрегать вопросами безопасности для своих проектов. Даже если Ваш блог молодой, то не нужно думать, что он не представляет интерес для хакеров.
Наоборот: эти ребята прекрасно понимают, что гораздо проще взломать сайт неопытного вебмастера, чем пробить защиту сайта, который администрирует бородатый админ с манией преследования.
Естественно, все это делается в автоматическом режиме через поиск уязвимостей на сайте.
Я сам не раз и не два становился целью таких атак:
Вообще, у меня сейчас целая система по техническому обслуживанию своих проектов. В какой-то момент я понял, что непозволительно много времени , вместо того, чтобы администрировать создание контента.
Может быть напишу об этом, хотя тема довольно специфичная.
Отмечу лишь, что если захотят, то взломают кого угодно и когда угодно. И громкие скандалы последних месяцев – наглядное тому подтверждение.
Поэтому я всегда настойчиво рекомендую не допускать заражения, чем потом мучительно долго искать зловредный код
Но если это все-таки произошло, то придется расслабиться и получить удовольствие досконально разбираться. Поверьте, занятие крайне нервное и скучное.
Отмечу, что неопытному человеку решить такую проблему самому часто невозможно. И придется привлекать профи для решения проблемы.
И тут мое внимание привлек новый антивирус от Яндекса под названием “Манул”.
Что такое антивирус “Манул”?
Это специальный скрипт от Яндекса, который помогает найти вирусы на вашем сайте. Как понял, “Манул” был создан на базе знаменитого скрипта “Айболит” компании revisium.com
Дело в том, что обычные антивирусы часто не видят вирусы для сайтов, так как они заточены под совсем другие задачи (под обычные компьютеры). Да, они что-то видят, но далеко не все.
Здесь же мы видим решение, заточенное для сайтов.
Как им пользоваться?
На самом деле все делается буквально в пару кликов, но … впрочем об этом ниже =) Если захотите его потестировать, то в обязательном порядке сделайте резервную копию сайта.
И скачиваем антивирус к себе на компьютер. Весит он примерно 100 килобайт.
Заливаем содержимое архива manul.zip в корень сайта в каталог manul
Сразу придумываем пароль (чем сложнее, тем лучше)
И сразу же начинаем сканировать наш сайт на наличие вредоносного кода:
Процесс пошел =)
Важно: в некоторых случаях придется отключать плагины безопасности. Например, на одном из проектов мне пришлось отключить Ithemes security, так как он блокировал этот скрипт (не забудьте после проверки включить его снова)
Отмечу, что проверка может проходить достаточно долго. Особенно на дешевых хостингах с ограничениями по нагрузке на процессоры сервера.
Вот, например, какую ошибку можно получить на дешевом виртуальном хостинге:
Ajax critical error
Could not properly handle AJAX request {«readyState»:4,»responseText»:»»,»status»:500,»statusText»:»Internal Server Error»}
После того, как сканирование завершится, нам будет предложено скачать архив с результатами проверки.
А вот дальше начинается самое интересное и непонятное =)
Сохраненный архив с результатами проверки нужно загрузить в “Анализатор”
И через некоторое время увидим вот такую устрашающую таблицу:
Наше внимание должны привлечь файлы из списка, которые помечены красными и желтыми кружками.
Но на самом деле я не советую паниковать, так как видно, что даже безопасные файлы этот скрипт может пометить как вредоносные. Я таким образом проверил свой сервис опросов, и слегка вздрогнул, когда глянул на отчет =)
Но сравнение с файлами чистой установки движка показало, что это было ложное срабатывание.
То есть, придется внимательно рассматривать каждый подозрительный файл и искать подозрительный код. Повторюсь, что это занятие далеко не всем под силу.
Предположим, что какой-то файл на 100% вредоносный. Что делать-то?
Напротив каждого подозрительного файла можно выбрать необходимое действие: отправить на карантин или удалить (7 раз подумайте, прежде чем это делать)
Предположим, я хочу удалить файл. Нажимаю на кнопку “Удалить”
В самом низу “Анализатора” есть поле, где появится соответствующая команда:
Эту команду нужно скопировать и вернуться на наш сайт
И во вкладке “Лечение” вставить полученную команду. А затем нажать на кнопку “Исполнить”. Файл будет удален =)
Как удалить этот антивирус с сайта?
Зайдите в корень сайта и удалите каталог “manul”
Итог
На данный момент антивирус “Манул” подойдет далеко не для всех. Точнее, подойдет он для бородатых админов в очках с толстым учебником по PHP в руке.
1. Например, на моем тестовом виртуальном хостинге он не смог отработать до конца (Евробайт). Только на мощном VPS-сервере все прошло без досадных зависаний и проклятий.
2. Есть ложные срабатывания. Но это не значит, что антивирус плохой. Очевидно, что база данных ложных срабатываний пополняется, и скоро их будет все меньше и меньше.
3. Простому пользователю лучше его не запускать, чтобы не добавлять седые волосы на голову =) Только расстроитесь.
Для новичков в блоггинге гораздо удобнее работать с WordFence Security, о котором много раз писал на блоге.
