Aktualności

Wykorzystujesz konsole poleceń SSH do walki z wirusami? Jeśli nie to moim zdaniem błąd, bo to narzędzie z pewnością może pomóc w poszukiwaniu zainfekowanych plików.

 

Jak już wygodne sposoby zawiodą.

Okazało się że masz zainfekowane pliki na stronie? Co robisz? Masz wiele możliwości, od tych automatycznych, po półautomatyczne i ręczne.

NO ALE przeskanowałeś pliki przy pomocy Sucuri, może jakiś virustotal czy Quttera i wszystkie wyświetlają że jest ok.

Ale wiesz że nie jest ok…

Choćby przez taki screen od klienta po wejściu na swoją stronę z Google

Jeśli masz farta i dostęp do WP to sobie wejdziesz i zainstalujesz (jeśli nie masz) jakąś popularną wtyczkę samo-skanującą pliki WP np Wordfence w poszukiwaniu wirusów.

Ale i takie wtyczki zawodzą, bo nie pokazują wszystkich plików zainfekowanych (o zgrozo!).

 

Co pomoże?

Właśnie SSH – jeśli go masz 🙂

Nie wszystkie firmy hostingowe w swoich serwerach opartych o współdzielone powierzchnie nie umożliwiają dostępu do konsoli ssh, niektóre limituj to wybraną ofertą np. najtańszy tego nie ma.

 

W SSH oprócz standardowych możliwości możesz:

  • szukać konkretnych plików,
  • szukać konkretnych sformułowań w plikach
  • szukać elementów kodu które mają określony skład
  • uruchamiać skanowanie antywirusowe – tylko niektóre hostingi

 

Antywirus na serwerze z linuxem?

Tak, na serwerze, jeśli mamy dedykowany albo choćby VPS możemy sobie zainstalować oprogramowanie antywirusowe, my korzystamy z ClamAV.

Niektórzy dostawcy mają swoje rozwiązania, mają ale nie dają dostępu, jak np. home.pl – trzeba prosić o przeskanowanie (chyba że sami Cie zbanują bo strona aż kipiała od wirusów).

Ale niektóre firmy hostingowe z powierzchnią współdzieloną dają dostęp do ssh na którym sobie można odpalić ręcznie skanowanie.

Jak to zrobić?

Tu mamy instrukcję komend clamAV, – uruchamiamy tą:

clamscan -r –bell -i /

Najlepiej być w folderze skanowanym, albo wpisać na końcu pełną ścieżkę do folderu z plikami.

Nie wiesz jaka jest ścieżka do folderu z plikami domeny? Dodaj plik o przykładowej nazwie sciezka.php a w nim dodaj

<?php
$dir = dirname(__FILE__);
echo "<p>Pełna ścieżka do tego katalogu: " . $dir . "</p>";
?>

A następnie odpal go w przeglądarce w ten sposób: http://twojadomena.pl/sciezka.php – pokaże Ci się pełna ścieżka do pliku na serwerze.

 

Co po skanowaniu?

ClamAV może pokazać ilość zainfekowanych plików, może też je wskazać na serwerze, ale też może je usunać…

clamscan -r –remove /

Uwaga! nie rób tego w domu, a nigdzie indzie, bo często infekowane są pojedyńcze wiersze w pliku który zapewne jest bardzo ważny w strukturze plików Twojej strony, i usunięcie go może spowodować że strona Ci zniknie…

 

Po skanowaniu mamy przykładowo taki wynik – wynik z realizowanego odwirusowania na domenie siecilan.pl – co robiliśmy krok po kroku opiszemy w kolejnym wpisie.

Jeśli to mamy, to już też pozostało ręczne poszukiwanie plików i usuwanie złośliwego kodu.

 

Co dalej? Czy coś jeszcze?

Usunięcie zainfekowanych plików lub kodu z plików to nie wszystko, ponieważ te pliki zostały w jakiś sposób zainfekowane.

Proponujemy jeszcze poszukać komendami dodatkowymi podejrzanych części kodu w plikach, oraz przejrzenie ich, czy nie ma czegoś podejrzanego.

grep -Hilr 'function.*strlen.*isset' . 2> /dev/null ; grep -iHlnr -E 'filesman|eval.*base64_decode' * 2> /dev/null

 

find . -name "*.php" -type f -perm 600 -print0 | xargs -0 grep -iHlnrE 'filesman|eval.*base64_decode|PCT4BA6ODSE|globals' 2> /dev/null

 

grep -iHlnrE 'filesman|eval.*base64_decode|PCT4BA6ODSE' 2> /dev/null

 

Jeśli po wpisaniu w/w poleceń konsola nic nie pokazuje to jest cień szansy że strona może być czysta. Hura? Nie tak szybko 🙂

Następnie proponuję jeszcze przeglądać logi strony, w poszukiwaniu wywołań do podejrzanych plików a takie będą się zdarzać, jeśli wyczyściliśmy, to wywołanie będzie opatrzone kodem 404 – brak strony, jeśli jednak coś podejrzanego trafi się z kodem 200 – dostęony, to pewnie mamy znowu syf, albo strona nie została wyczyszczona odpowiednio.

Z odwirusowaniem jest czasem jak chodzenie po omacku, nie warto ufać rozwiązaniom online, WARTO korzystać z konsoli ssh, lub pomocy supportu bo jeśli nic nie zrobisz to w końcu trafisz na czarne listy w programach antywirusowych albo zostaniesz oflagowany jako potencjalnie niebezpieczny adres internetowy przez Google Chrome lub inne przeglądarki, a to trochę boli… 

Powodzenia!

Pytania? piszcie w komentarzach.

 

Zawirusowani? Co robić, jak czyścić…

Zapisz się do newslettera i nie przegap kolejnych wpisów!