hosting:security:virus-cleaning

2.18.5. Очистка от вирусов

Когда антивирус на хостинге при сканировании находит вредоносный код, владельцу хостинг-аккаунта отправляется уведомление с информацией о проблеме. Вредоносный код требуется обязательно удалить, так как из-за его наличия могут возникать проблемы с безопасностью данных как заражённого сайта, так и соседних сайтов в этом же хостинг-аккаунте.

Удаление вредоносного кода стоит производить после ознакомления с отчетом антивируса и анализа самого вредоносного кода. Довольно часто удаление вредоносного кода может повлечь за собой возникновение проблем в работе сайта по причине его внедрения в важные скрипты системы сайта.

Произвести полную очистку от вирусов в большинстве своём недостаточно для обеспечения безопасности сайта, так как требуется обнаружить источник заражения и устранить его. Без таких действий повторное заражение может быть лишь вопросом времени.

Рекомендуется использовать дополнительные сервисы проверки сайта на вирусы, к примеру сервис WPScan.

Удалить вирусы можно несколькими способами:

Для очистки хостинг-аккаунта от вредоносного кода нужно ознакомиться с отчётом антивируса и устранить все найденные замечания. Необходимо открыть каждый из заражённых файлов, внимательно изучить его содержимое и удалить из него фрагменты вредоносного кода (антивирус выделяет в файле только найденные сигнатуры, вирусный код может быть в других частях файла и не быть выделенным, важно проверить весь файл и удалить подозрительные данные). Полностью удалять заражённые файлы нужно только в том случае, если они полностью состоят из вредоносного кода.

Можно производить полную замену файлов сайта на идентичные из собственной резервной копии или из официальных источников. К примеру, большую часть файлов WordPress можно найти в репозитории на GitHub.

Для поиска и редактирования файлов можно использовать файл-менеджер панели управления или любой FTP-клиент.

Обратите внимание на код, который зашифрован в Base64. Именно в таком виде довольно часто размещают вредоносный код. Расшифровать такой закодированный участок можно, к примеру, при помощи этого сервиса.

К опасным функциям PHP можно отнести: eval, exec, shell_exec, system, passthru. При нахождении таких функций на них стоит обратить особое внимание, так как они часто используются во вредоносном коде.

Для поиска источника заражения следует анализировать логи сайта на предмет подозрительных запросов к нему. В логах стоит проверить данные за дату последних изменений вирусных файлов.

Важно:

Дата последнего изменения не может точно указывать на дату создания вирусных файлов и ориентироваться только на неё — нельзя. Заражение сайта могло произойти намного раньше, но появление вирусных файлов, обнаруженных нашим антивирусом, было из-за какого либо «триггера»1).

К подозрительным запросам можно отнести:

  • Запросы методом POST и PUT.
  • Запросы к админ-панели сайта со сторонних IP-адресов.
  • Запросы к защищённым каталогам вида system или storage2).
  • Запросы, в которых фигурирует закодированный текст в виде Base64 и т. д., или SQL-запросы.
  • Запросы к недавно установленным плагинам.

Помимо проверки логов сервера стоит также проверить логи FTP, логи исходящих соединений и логи авторизации в панели управления. Если были найдены подозрительные записи, стоит изменить пароли FTP-пользователей, пользователей баз данных3) и учётной записи, дополнительно установив двухэтапную аутентификацию. Сгенерировать новые сложные пароли можно на этой странице. Если были найдены исходящие соединения, которые не должны производиться, можно установить ограничения на все или определенные исходящие соединения для всего хостинг-аккаунта на время устранения проблемы.

После проверки логов нужно проверить файлы сайта на наличие стороннего кода. В первую очередь стоит проверять файлы недавно установленных плагинов и модулей. Важно остерегаться неофициальных плагинов и модулей, особенно если они являются платными, но были получены бесплатно со сторонних сайтов. Если таковые имеются — то их следует удалить или восстановить резервную копию сайта до момента их установки.

Откажитесь от любых файловых менеджеров на самом сайте. В большинстве своём они небезопасны и могут представлять большую угрозу.

Для обеспечения безопасности сайта стоит ознакомиться с рекомендациями по защите.


1)
Отправки определённых запросов, запуск скриптов, обновление файлов с удалённых серверов и т. д.
2)
В зависимости от используемой CMS некоторые каталоги могут быть системными для сайта и должны быть защищены от доступа извне
3)
После изменения паролей баз данных потребуется повторно настроить подключение к ним в конфигурационных файлах сайтов, что можно сделать по этой инструкции.
  • hosting/security/virus-cleaning.txt
  • Последнее изменение: 2020/10/15 12:14
  • karlov