Oczyszczanie serwera z zainfekowanych plików

Otrzymując wiadomość e-mail dotyczącą zainfekowanych plików zlokalizowanych na jednej z Twoich usług zobowiązany jesteś do ich weryfikacji oraz ewentualnego usunięcia.

Wiadomość składa się z dwóch części:

  • wynik skanera AV
  • inne potencjalnie zainfekowane pliki

 

Wynik skanera AV jest rezultatem programu antywirusowego Avast. Inne potencjalnie zainfekowane pliki typowane są na podstawie zawartości pierwszej linijki kodu skanowanego pliku. By wyczyścić serwer z tych plików należy wykonać połączenie z serwerem za pomocą SSH bądź FTP. Instrukcję jak połączyć się z serwerem za pomocą SSH znajdziesz tutaj, natomiast konfigurację programów FTP tutaj

W przypadku, gdy zapomniałeś danych logowania do swojego panelu klienta zajrzyj tutaj.

Jeżeli prawidłowo połączyłeś się z serwerem oraz jesteś w stanie wylistować pliki znajdujące się na swoim koncie możesz przystąpić do usunięcia/zmodyfikowania zainfekowanych plików. 

 

UWAGA

Przed przystąpieniem do oczyszczania serwera z zainfekowanych plików sugerujemy wykonanie kopii zapasowej tych plików. W przypadku, gdy wystąpi problem z funkcjonowaniem serwisu będziesz w stanie przywrócić jego prawidłowe działanie.

 

Pliki wynikowe powinny być pokazane w poniższym formacie:

 

 

Znacznik "./" jest skrótem oznaczającym ścieżkę do Twojego konta FTP bądź domeny. Przykładowo, jeśli posiadasz konto o nazwie "kei" pełna ścieżka do zainfekowanego pliku to:

/home/users/kei/public_html/mojadomena.pl/index.php

Logując się poprzez FTP bądź SSH od razu znajdujesz się w katalogu głównym danego konta, czyli /home/users/kei. By odszukać podany plik należy otwierać kolejno podane katalogi "public_html/mojadomena.pl".

Gdy odszukasz potencjalnie zainfekowany plik koniecznie zweryfikuj jego pochodzenie a także zawartość. Jeśli plik nie jest Twojego autorstwa a także jego treść wydaje Ci się podejrzana - usuń część zainfekowanego kodu bądź cały plik. 

W przypadku innych potencjalnie zainfekowanych plików (jeśli takie istnieją) możesz spotkać się z dopisanym kodem w pierwszej linii skryptu, który może wyglądać następująco: 

 

 

W takiej sytuacji należy usunąć dopisany kod, który może służyć jako potencjalna luka w oprogramowaniu zainstalowanym w danym serwisie.

Proszę mieć również na uwadze, że skaner AV nie daje 100% gwarancji wykrycia wszystkich zainfekowanych plików, zalecamy zatem manualne sprawdzenie swoich plików w przypadku podejrzeń o infekcji. Złośliwy kod zazwyczaj dopisywany jest w pierwszej linii skryptów php.

 

Promocja
Oceń:  

Podobne tematy

Git na serwerach Kei - system kontroli wersji
SVN na serwerach Kei - system kontroli wersji
Ochrona antywirusowa poczty e-mail
Czy skrypt uruchomiony z powłoki shell, będzie działał po utracie połącznia ?
NASZE ATUTY
  • 20 lat doświadczenia
  • własne centrum danych
  • 11 000 klientów
  • 1 000 m2 powierzchni
  • Zgodność z wytycznymi RODO
  • Zaawansowane systemy bezpieczeństwa
DOCENILI NAS
nagrodzony hosting www
Pomoc - Kei.pl  

Pamiętaj, że nasi konsultanci są dostępni 24/7 i odpowiedzą na wszystkei pytania.