Яндекс выпустил антивирус для лечения сайтов — Manul. Отзыв от WebPatron

Пятница, 24 апреля 2015 20:24

Сегодня компания Яндекс, совместно с Григорием Земсковым из компании "Ревизиум" анонсировали совместный продукт - антивирус для сайтов Manul. Естественно мы не могли пройти мимо такого замечательного события и решили испытать этого "зверя".

Забегая наперёд, хочется сказать - мы были полностью разочарованы и считаем, что данный продукт может принести больше вреда, чем пользы, особенно для обычных пользователей сайтов, которые сталкиваются с заражением сайта впервые и ничего во вредоносном коде не понимают.

Мы решили испытать Manul на двух сайтах - один сайт на Joomla, правда с дополнительными расширениями (заведомо чистый), а второй - большой интернет-магазин на Bitrix (взломанный и содержащий вредоносный код).

Суть проверки сайта антивирусом такова:

1. Скачиваем архив с антивирусом со специальной страницы на Яндексе, распаковываем в корень сайта и переходим в браузере по адресу ваш_сайт/manul. Дальше предлагается задать пароль и начать сканирование. Антивирус в начале собирает информацию о всех файлах, затем их сканирует.

2. После сканирования антивирус выдаёт архив с отчётом, который нужно загрузить в специальный анализатор и после этого его можно будет посмотреть.

3. В анализаторе можно посмотреть список файлов сайта, какую оценку им дал антивирус, увидеть сигнатуру, по какой manul отнёс файл к подозрительному или вредоносному, а также нажимая кнопки Удалить и Карантин, сформировать скрипт-предписание, который можно выполнить уже на самом сайте в Manul и тем самым вылечить сайт.

Запущенная нами проверка на Битриксе до конца так и не дошла. Оборвалось всё ещё на этапе сбора информации о файлах, которых в Битриксе не мало, и в итоге мы получили:

2015 04 24

Ну да ладно, Битрикс действительно большой, Joomla ведь поменьше. Сканирование заведомо чистого сайта на Joomla у нас завершилось и мы получили архив с отчётом, который загрузили в анализатор. И увидели, что у нас один файл оказывается вредоносный и несколько сотен подозрительных.

Вот здесь начинается самое страшное.

Manul ищет по сигнатурам (участкам кода). Базу сигнатур собирали с реальных вредоносных файлов, обнаруженных на реально взломанных сайтах. Но! Где гарантия того, что кто-то не использует точно такой же участок кода в абсолютно нормальном файле? Особенно куча обнаружений будет в платных скриптах, где разработчики кодируют некоторые файлы. Вот и у нас один файл оказался по мнению Manul-а вредоносным.

Далее очень часто бывает, что вредоносный код находится не только в отдельных файлах, но и дописан в файлы самого сайта.

Что сделает обычный пользователь, который решил вылечить свой сайт самостоятельно, увидя кучу вредоносных файлов? Естественно пометит их к удалению и в итоге удалит, после чего есть огромная вероятность, что его сайт совсем перестанет работать.

И при этом ещё и наделает кучу проблем тем, кто после этого всего будет лечить его сайт.

Стоит так же заметить, что лечение, без определения и закрытия уязвимостей - пустая трата времени, через некоторое время сайт будет взломан снова. Да и нет гарантии, что Manul найдёт всё, ведь нужной сигнатуры может и не быть.

Исходя из этого, вывод очевиден:

Затея, конечно хорошая, но очень опасная и в некотором роде бесполезная. Manul можно использовать для проверки своего сайта на наличие вредоносного кода, но ни в коем случае нельзя использовать для бездумного лечения, особенно тем, кто мало разбирается в том, что он делает.

Alex Volkov, WebPatron.


Оставить комментарий

  • Способы
    Оплаты:
  • visa
  • mastercard
  • qiwi
  • webmoney
  • yandex money
  • sberbank
  • mts bank
  • zpayment
  • liqpay
  • alfabank white
  • paxum e1411320249623
Copyright © 2012 - 2017 WebPatron Ltd. All rights reserved.