Cum să eliminați un virus din gazda dvs.
Dacă în urmă cu 5 ani de hackeri turci și deschide vechiul meu site-ul phpBB2, tocmai a scris pe pagina de start: „Salutări din Turcia“, site-uri de astăzi hacking - o afacere profitabilă. Pe site-ul dvs. poate plasa bannere, redirecționa către programul de afiliere, o foaie de 500 de link-uri pe căile de acces lor, pur și simplu încărcați pe site-ul de intrare în sine în profunzime - opțiunile de generare de bani pentru site-ul dvs. alb și pufos în buzunarul altcuiva a crescut foarte mult. Ce se poate face din partea noastră a baricadei pentru a contracara scenariile malware? Consiliile sunt banale, batete și în multe locuri sunt duplicate pe Internet:
Ce se întâmplă dacă virusul sa strecurat deja în fișierele dvs. de găzduire și infectate, de exemplu, toate fișierele * .php cu includerea sa? Mai intai, nu intra in panica.
4.3 Căutăm fișiere create într-o anumită perioadă de timp:găsi / home / vasya123 / -ctime -40 -ctime +10> files.txt
Căutările de mai sus de comandă pentru fișiere cu 40 până la 10 zile în urmă, și scrie rezultatele la files.txt Aceste liste pot fi foarte extinse din cauza fișiere sesiune, fișierele jurnal și alte activități ale site-urilor dvs., dar este vital să se desfășoare, în scopul de a identifica inklyudy „copii“ în fișierele utile, cu un simplu redirecționa către domeniul atacatorului sau o altă acțiune base64_decode necriptat. Cu o anumită perioadă de timp, trebuie să experimentați dacă nu cunoașteți data exactă a infecției. De asemenea, ar trebui să încercați parametrii -atime și -mtime ale acestei comenzi.
5.1 La data cea mai timpurie turnat-shell sau fișierul modificat este în căutarea pentru o gaura in CMS, prin care un atacator a urcat. Pentru a face acest lucru, uita-te la jurnalele de toate site-urile din termenul specificat pentru URL-ul cerut suspecte, care poate ceva de genul site1.ru/?id=9999+union+select+null,'>',null+from+table1+into+outfile+'/usr /local/site/www/banners/cmd.php'/* și închidere sau că gaura special sau upgrade-uri de toate CMS in intregime pana la ultimul versii.5.2 Scoateți Shelley ud. Noi găsim în ele o linie unică, inerentă numai acestora și ștergeți prin grep:
grep -rls "2362634892un cod unic pentru a nu șterge fișierele utile354345345" / home / vasya123 | xargs rm -rf
Anterior, desigur, trebuie să rulați grep fără xargs rm -rf pentru a vă asigura că acestea sunt în căutarea fayly.5.3 strict rău intenționat Dacă un hacker a înregistrat în aceeași bucată de fișiere utile de cod rău intenționat, atunci nu va ajuta acest script un php, trebuie corectate pentru a se potrivi nevoilor dumneavoastră și a alerga în rădăcina fiecărui site prin intermediul unui browser. Există, de asemenea, un scenariu minunat Aibolit, care este în căutarea de viruși și vulnerabilități de pe site-ul, dar este foarte suspect
De fapt, asta e tot. Principalul lucru este să înveți logica: mai întâi scoateți gaura, apoi ștergeți doar consecințele găurii. În caz contrar, hackerul va exploata din nou vulnerabilitatea.
2 răspunsuri
grep -rls "parte a codului virusului" / home / vasya123 | xargs rm -rf
va șterge fișierele care conțin infecția, dar uneori aceste fișiere rămân active și după infecție, deci este mai bine să le "tratați", pentru aceasta ar trebui să utilizați următoarea comandă
găsi / cale / către / fișiere / | în timp ce citiți FILE; face sed -i '/ malware_part / d' $ FILE; făcut
Această comandă va elimina liniile care conțin codul de virus și nu va atinge nimic altceva. Ca rezultat, obținem un fișier de lucru și nu este infectat.
Articole similare
Trimiteți-le prietenilor: