Як видалити вірус зі свого хостингу
Якщо років 5 назад турецька хакер, розкривши мій старенький сайт на phpbb2, всього лише написав на головній сторінці: «Привіт з Туреччини», то сьогодні хакинг сайтів - це прибутковий бізнес. На вашому сайті можуть розмістити банери, редирект на партнерську програму, простирадло з 500 посилань на свої Дори, просто закачати сам дор в глибину сайту - варіантів монетизації вашого білого і пухнастого сайту в чужу кишеню розплодилося чимало. Що можна зробити з нашого боку барикад для протидії шкідливим скриптів? Поради банальні, побиті і в безлічі дублюються в інтернеті:
Що робити, якщо вірус вже прокрався на ваш хостинг і заразив, наприклад, все * .php файли своїм включенням? Для початку - не панікувати.
4.3 Шукаємо файли, створені за певний проміжок часу:find / home / vasya123 / -ctime -40 -ctime +10> files.txt
Вищевказана команда шукає файли, створені від 40 до 10 днів назад і записує результати в files.txt Подібні списки можуть виявитися дуже великими через файлів сесій, логів та іншої діяльності ваших сайтів, але життєво необхідно її виконувати, щоб виявити «дитячі» інклюд в ваші корисні файли з простим перенаправленням на домен зловмисника або іншим не зашифрованим base64_decode дією. З проміжком часу необхідно експериментувати, якщо невідома точна дата зараження. Також необхідно спробувати параметри -atime і -mtime цієї команди.
5.1 За датою самого раннього залитого шелла або зміненого файлу шукаємо дірку в CMS, через яку проліз зловмисник. Для цього дивимося логи всіх сайтів за зазначений час на предмет підозріло запитаних URL, щось на зразок site1.ru/?id=9999+union+select+null,'>',null+from+table1+into+outfile+'/usr /local/site/www/banners/cmd.php'/* і закриваємо або цю конкретну дірку, або апгрейдим весь CMS цілком до останньої версіі.5.2 Видаляємо залиті шелли. Знаходимо в них унікальну рядок, властиву тільки їм, і видаляємо через grep:
grep -rls «2362634892тут унікальний код щоб не видалити корисні файли354345345" / home / vasya123 | xargs rm -rf
Попередньо, звичайно, треба запустити grep без параметра | xargs rm -rf щоб переконатися, що шукаються строго шкідливі файли.5.3 Якщо хакер прописав в корисні файли однаковий шматок шкідливого коду, то тут допоможе ось цей php скрипт Його потрібно підправити під свої потреби і запустити в корені кожного сайту через браузер. Також є чудовий скрипт айболит який шукає віруси та вразливості на сайті, але він дуже недовірливий
Власне, це і все. Головне - засвоїти логіку: спочатку видаляємо діру, потім тільки видаляємо наслідки діри. Інакше хакер скористається вразливістю знову.
2 responses
grep -rls «часть_кода_віруса" / home / vasya123 | xargs rm -rf
видалить файли, що містять в собі заразу, але іноді ці файли залишаються робочими і після зараження, тому доцільніше їх «лікувати», для цього слід використовувати наступну команду
find / path / to / files / | while read FILE; do sed -i '/ часть_вредоносного_кода / d' $ FILE; done
ця команда видалить рядки містять код вірусу і не зачепить все інше. В результаті отримаємо працює і не заражений файл.