Die Wahrheit des Lebens ist, dass die Website früher oder später gehackt werden kann. Nach erfolgreicher Ausnutzung der Schwachstelle versucht der Hacker, auf der Website Fuß zu fassen, indem er Hacker-Web-Shells und -Loader in den Systemverzeichnissen platziert und Backdoors in den Skriptcode und die CMS-Datenbank einfügt.

Scanner helfen, hochgeladene Web-Shells, Backdoors, Phishing-Seiten, Spammer und andere Typen zu erkennen bösartige Skripte- alles, was sie wissen und zuvor der Signaturdatenbank von bösartigem Code hinzugefügt haben. Einige Scanner, wie AI-BOLIT, verfügen über eine Reihe von Heuristiken, die Dateien mit verdächtigem Code erkennen können, der häufig in bösartigen Skripten verwendet wird, oder Dateien mit verdächtigen Attributen, die von Hackern heruntergeladen werden können. Aber leider kann es auch bei der Verwendung mehrerer Scanner auf dem Hosting zu Situationen kommen, in denen einige Hacker-Skripte unentdeckt bleiben, was eigentlich bedeutet, dass der Angreifer immer noch eine „Hintertür“ hat und er die Seite hacken und die volle Kontrolle darüber erlangen kann es jederzeit.

Moderne Schad- und Hackerskripte unterscheiden sich erheblich von denen vor 4-5 Jahren. Entwickler von bösartigem Code kombinieren jetzt Verschleierung, Verschlüsselung, Dekomposition, externes Laden von bösartigem Code und andere Tricks, um Antivirensoftware auszutricksen. Daher ist die Wahrscheinlichkeit, neue „Malware“ zu übersehen, viel höher als zuvor.

Was kann in diesem Fall getan werden, um Viren auf der Website und Hackerskripte auf dem Hosting effektiver zu erkennen? Es ist notwendig, einen integrierten Ansatz zu verwenden: anfängliches automatisiertes Scannen und weitere manuelle Analyse. Dieser Artikel konzentriert sich auf Optionen zum Erkennen von Schadcode ohne Scanner.

Überlegen Sie zunächst, worauf genau Sie beim Hacken achten sollten.

1. Hacker-Skripte.
   Meistens werden während des Hackens Dateien hochgeladen, die Web-Shells, Backdoors, „Loader“ (Uploader), Skripte für Spam-Mailings, Phishing-Seiten + Formular-Handler, Doorways und Hacking-Marker-Dateien sind (Bilder vom Logo der Hacker-Gruppe, Textdateien mit einer „Nachricht“ von Hackern etc.)
2. Injects (Code-Injektionen) in bestehende Dateien.
   Die zweitbeliebteste Art des Hostens von Schad- und Hackercode sind Injektionen. Mobile und Suchumleitungen können in vorhandene .htaccess-Site-Dateien eingefügt werden, Backdoors können in PHP/Perl-Skripte eingefügt werden, virale Javascript-Fragmente oder Weiterleitungen zu Ressourcen von Drittanbietern können in .js- und .html-Vorlagen eingebettet werden. Einfügungen sind auch in Mediendateien möglich, zum Beispiel.jpg oder. Häufig Schadcode besteht aus mehreren Komponenten: Der Schadcode selbst ist im Exif-Header gespeichert jpg-Datei, sondern wird über ein kleines Kontrollskript ausgeführt, dessen Code für den Scanner nicht verdächtig aussieht.
3. Datenbankinjektionen.
   Die Datenbank ist das dritte Ziel für den Hacker. Hier sind statische Einschübe möglich