Wykorzystujesz konsole poleceń SSH do walki z wirusami? Jeśli nie to moim zdaniem błąd, bo to narzędzie z pewnością może pomóc w poszukiwaniu zainfekowanych plików.
Jak już wygodne sposoby zawiodą.
Okazało się że masz zainfekowane pliki na stronie? Co robisz? Masz wiele możliwości, od tych automatycznych, po półautomatyczne i ręczne.
NO ALE przeskanowałeś pliki przy pomocy Sucuri, może jakiś virustotal czy Quttera i wszystkie wyświetlają że jest ok.
Ale wiesz że nie jest ok…
Choćby przez taki screen od klienta po wejściu na swoją stronę z Google
Jeśli masz farta i dostęp do WP to sobie wejdziesz i zainstalujesz (jeśli nie masz) jakąś popularną wtyczkę samo-skanującą pliki WP np Wordfence w poszukiwaniu wirusów.
Ale i takie wtyczki zawodzą, bo nie pokazują wszystkich plików zainfekowanych (o zgrozo!).
Co pomoże?
Właśnie SSH – jeśli go masz 🙂
Nie wszystkie firmy hostingowe w swoich serwerach opartych o współdzielone powierzchnie nie umożliwiają dostępu do konsoli ssh, niektóre limituj to wybraną ofertą np. najtańszy tego nie ma.
W SSH oprócz standardowych możliwości możesz:
- szukać konkretnych plików,
- szukać konkretnych sformułowań w plikach
- szukać elementów kodu które mają określony skład
- uruchamiać skanowanie antywirusowe – tylko niektóre hostingi
Antywirus na serwerze z linuxem?
Tak, na serwerze, jeśli mamy dedykowany albo choćby VPS możemy sobie zainstalować oprogramowanie antywirusowe, my korzystamy z ClamAV.
Niektórzy dostawcy mają swoje rozwiązania, mają ale nie dają dostępu, jak np. home.pl – trzeba prosić o przeskanowanie (chyba że sami Cie zbanują bo strona aż kipiała od wirusów).
Ale niektóre firmy hostingowe z powierzchnią współdzieloną dają dostęp do ssh na którym sobie można odpalić ręcznie skanowanie.
Jak to zrobić?
Tu mamy instrukcję komend clamAV, – uruchamiamy tą:
clamscan -r –bell -i /
Najlepiej być w folderze skanowanym, albo wpisać na końcu pełną ścieżkę do folderu z plikami.
Nie wiesz jaka jest ścieżka do folderu z plikami domeny? Dodaj plik o przykładowej nazwie sciezka.php a w nim dodaj
<?php
$dir = dirname(__FILE__);
echo "<p>Pełna ścieżka do tego katalogu: " . $dir . "</p>";
?>
A następnie odpal go w przeglądarce w ten sposób: http://twojadomena.pl/sciezka.php – pokaże Ci się pełna ścieżka do pliku na serwerze.
Co po skanowaniu?
ClamAV może pokazać ilość zainfekowanych plików, może też je wskazać na serwerze, ale też może je usunać…
clamscan -r –remove /
Uwaga! nie rób tego w domu, a nigdzie indzie, bo często infekowane są pojedyńcze wiersze w pliku który zapewne jest bardzo ważny w strukturze plików Twojej strony, i usunięcie go może spowodować że strona Ci zniknie…
Po skanowaniu mamy przykładowo taki wynik – wynik z realizowanego odwirusowania na domenie siecilan.pl – co robiliśmy krok po kroku opiszemy w kolejnym wpisie.
Jeśli to mamy, to już też pozostało ręczne poszukiwanie plików i usuwanie złośliwego kodu.
Co dalej? Czy coś jeszcze?
Usunięcie zainfekowanych plików lub kodu z plików to nie wszystko, ponieważ te pliki zostały w jakiś sposób zainfekowane.
Proponujemy jeszcze poszukać komendami dodatkowymi podejrzanych części kodu w plikach, oraz przejrzenie ich, czy nie ma czegoś podejrzanego.
grep -Hilr 'function.*strlen.*isset' . 2> /dev/null ; grep -iHlnr -E 'filesman|eval.*base64_decode' * 2> /dev/null
find . -name "*.php" -type f -perm 600 -print0 | xargs -0 grep -iHlnrE 'filesman|eval.*base64_decode|PCT4BA6ODSE|globals' 2> /dev/null
grep -iHlnrE 'filesman|eval.*base64_decode|PCT4BA6ODSE' 2> /dev/null
Jeśli po wpisaniu w/w poleceń konsola nic nie pokazuje to jest cień szansy że strona może być czysta. Hura? Nie tak szybko 🙂
Następnie proponuję jeszcze przeglądać logi strony, w poszukiwaniu wywołań do podejrzanych plików a takie będą się zdarzać, jeśli wyczyściliśmy, to wywołanie będzie opatrzone kodem 404 – brak strony, jeśli jednak coś podejrzanego trafi się z kodem 200 – dostęony, to pewnie mamy znowu syf, albo strona nie została wyczyszczona odpowiednio.
Z odwirusowaniem jest czasem jak chodzenie po omacku, nie warto ufać rozwiązaniom online, WARTO korzystać z konsoli ssh, lub pomocy supportu bo jeśli nic nie zrobisz to w końcu trafisz na czarne listy w programach antywirusowych albo zostaniesz oflagowany jako potencjalnie niebezpieczny adres internetowy przez Google Chrome lub inne przeglądarki, a to trochę boli…
Powodzenia!
Pytania? piszcie w komentarzach.
Zawirusowani? Co robić, jak czyścić…
Zapisz się do newslettera i nie przegap kolejnych wpisów!