Не допускайте появление вирусов и других вредоносных программ на вашем сервере, придерживаясь следующих правил:
- обновляйте программное обеспечение вашего сервера и CMS;
- выполняйте резервное копирование сервера;
- используйте только сложные пароли, содержащие заглавные и строчные буквы, цифры и служебные символы;
- не храните логины и пароли в открытом виде;
- контролируйте права доступа пользователей к каталогам сайта, придерживайтесь максимального ограничения доступа в рамках возможного.
Если у вас возникло подозрение, что на сайте появился вирус, проверьте его антивирусом или бесплатным сервисом http://antivirus-alarm.ru/proverka/, http://vms.drweb.ru/online. Проверка укажет вам на участки кода, которые возможно являются вирусами. Просмотрите найденные файлы и удостоверьтесь, что код не является вирусом.
В панели управления ISPmanager доступен бесплатный модуль антивируса ImunifyAV (ранее Revisium). С его помощью вы можете просканировать сайты на наличие угроз. Чтобы использовать все возможности антивируса, в том числе лечение сайтов, можно приобрести платную версию у компании CloudLinux или её реселлеров. Её покупка значительно упростит мониторинг и устранение вирусов на сайте. ImunifyAV выполняет поиск вредоносного кода в файлах .php, .js, .html, системных файлах и пытается «вылечить» зараженные файлы.
В UNIX-подобных операционных системах можно применить команду, которая отыщет файлы сайта mydomain.ru, измененные в течение последних 5 дней.
find /var/www/user/data/www/mydomain.ru/ -type f -mtime -5
Если вы примерно знаете, в какой день обнаружили предположительный вирус, то среди найденных файлов можете обнаружить зараженный.
Просмотрите лог-файл ftp на предмет неизвестных файловых загрузок. Например, запись
Tue Aug 16 10:56:38 2016 0 <146.55.4.112> 14271 /var/www/user/data/www/mydomain.ru/include/trash.php a _ i r unknownuser ftp 0 * c
говорит о том, что 16.08.2016 по ftp на сервер (ключ i) был загружен файл trash.php в папку /var/www/user/data/www/mydomain.ru/include/ пользователем unknownuser с IP-адреса 146.55.4.112. Это может быть файл с вирусом.
Просмотрите директории, которые доступны для большинства пользователей сайта. Если они обычно не загружают .php или .js файлы, то в папках uploads и image не должно содержаться подобных файлов. Проверьте командой
file /var/www/user/data/www/mydomain.ru/uploads/* | grep -i php
наличие файлов с расширением php в папке uploads. Если в ней присутствуют неизвестные вам файлы, то они могут быть вредоносными и их нужно удалить. Возможна ситуация, при которой внутри jpg-файла на самом деле находится файл php
file in.jpg in.jpg: PHP script text\
С большой вероятностью это также файл с вирусом, который нужно удалить.
Убедитесь, что на сайте нет неизвестных вам перенаправлений, выполнив команду
find /var/www/user/data/www/site.ru/ -type f -iname '*htaccess'
Результатом выполнения этой команды будет список всех файлов .htaccess на сайте. Просмотрите каждый на предмет перенаправлений и убедитесь, что все они необходимы.
Выполните поиск вредоносного кода по шаблонам, которые обычно присутствуют в вирусах. Наиболее распространенные шаблоны следующие:
FilesMan, try {document.body, String[“fromCharCode”], auth_pass, fromCharCode, shell_exec, passthru, system, base64_decode, chmod, passwd, mkdir, eval(str_replace, eval(gzinflate, =””; function, “ev”+”al”, md5=, ss+st.fromCharCode, e2aa4e))}
Команда
grep -ril FilesMan /var/www/user/mydomain.ru
выполняет поиск на сайте mydomain.ru, который размещен в /var/www/user/mydomain.ru, файлы, содержащие фрагмент FilesMan.
Если вы обнаружили какой-то из этих шаблонов в теле файла, убедитесь в том, что это действительно посторонний код, поскольку приведенные выше шаблоны могут использоваться и для полезных целей. Если же это действительно код вируса, то нужно выполнить резервное копирование сайта, а после удалить фрагменты с этим кодом. Перед удалением выполните команду
stat inf_file.js
где inf_file.js файл с подозрительным кодом.
Результатом этой команды будут даты последнего обращения к файлу, его изменения и модификации атрибутов. Убедитесь, что эти данные соответствуют предположительной вами дате появления вируса, сопоставьте с событиями в лог-файлах, как описано выше.
Для удаления фрагмента файла с вредоносным кодом используйте команду
sed -i "" 's/начало_шаблона.*конец_шаблона//g' inf_file.js
Например, код String["fromCharCode"] удаляется командой
sed -i "" 's/String.*"]//g' inf_file.js
Все вышеперечисленное является лишь возможным вариантом очищения сайта от вируса, если есть возможность, восстановите последнюю надежную резервную копию.
После того, как вы освободили сайт от вирусов, смените пароли доступа к сайту, поставьте все обновления для операционной системы, программного обеспечения, CMS и т.д., сделайте резервную копию сайта вез вирусов.