- Vaša košarica je trenutno prazna
Kako očistiti viruse na spletni strani?
Če niste temeljito poskrbeli za varnost svoje spletne strani, lahko vaš paketa gostovanja postane žrtev spletnega virusa. Vzroki za to so najpogosteje naslednji:
- vdor v spletno stran zaradi slabih prijavnih podatkov (preberite si več o varnem geslu),
- neposodobljena spletna stran (npr. jedro sistema, vtičniki, grafična predloga),
- uporaba nepreverjenih vtičnikov in grafičnih predlog,
- virus na računalniku.
Več o vzrokih in preprečevanju spletnih virusov si lahko preberete v prispevku Kako spletno stran zavarovati pred vdori in virusi?.
Ste ugotovili, da je vaša spletna postala žrtev spletnega virusa? Potem bo potrebno čiščenje paketa gostovanja. Pri iskanju virusa vam bo v veliko pomoč napredni antivirusni sistem, ki ga uporabljamo pri NEOSERV, nekatere datoteke pa boste morda morali poiskati in očistiti ročno.
Kako prepoznati spletni virus?
Kompromiran paket največkrat prepoznamo po datotekah s sumljivimi imeni. V tem primeru gre torej za nove datoteke, ki na paketu ne bi smele obstajati. Lahko pa gre za spremembo sicer legitimnih datotek, pri katerih je potrebno odstraniti zgolj zlonamerno kodo. Prav tako lahko pride do spletnega virusa v podatkovni bazi.
Ste na svojem paketu gostovanja našli datoteke v podobnem stanju, prikazanem na zgornji sliki? V nadaljevanju preverite, kako poiskati in očistiti spletni virus.
Iskanje spletnega virusa z antivirusnim sistemom
Na strežnikih NEOSERV uporabljamo antivirusni sistem, ki redno pregleduje datoteke in spletni virus zazna samodejno. Datotekam z zlonamerno kodo doda pripono .infected, same vsebine datotek pa ne spreminja. Sistem torej služi kot pomoč pri iskanju spletnih virusov, saj le-te lahko hitro poiščete s preprosto iskalno poizvedbo “.infected”.
1. Vpišite se v nadzorno ploščo cPanel.
2. Odprite Upravitelja datotek (ang. File Manager).
3. V desnem zgornjem kotu poiščite iskalnik datotek, vpišite .infected in kliknite modri gumb Go.
4. Počakajte trenutek, da sistem pregleda vse datoteke na vašem paketu gostovanja. Po končanem iskanju se vam bo prikazalo okno z rezultati iskanja.
5. Ročno preverite vse datoteke, ki so označene s končnico .infected, in iz njih odstranite zlonamerno kodo. Ko boste shranili spremembe, bo antivirusni sistem znova preveril datoteke in jih v primeru, da spletni virus ni bil v celoti odstranjen, znova označil s prej omenjeno končnico.
Ker se ves čas pojavljajo novi spletni virusi, prav tako pa se lahko obstoječi spreminjajo, noben antivirusni sistem ni popoln. Zaradi tega lahko pride do tega, da bo na vašem paketu gostovanja prisoten spletni virus, ki ga antivirusni sistem ne bo zaznal. V tem primeru bo potrebno tudi ročno iskanje in čiščenje zlonamerne kode. Več o tem v nadaljevanju.
Ročno iskanje spletnega virusa s SSH ukazi
Pri iskanju spletnega virusa si pomagate s SSH ukazi. Iščete lahko na podlagi ukazov, ki so vezani na časovni okvir. Tako denimo z ukazom …
find . -name "*.php" -mtime -5 -print | less
… poiščete vse datoteke, ki so bile modificirane v zadnjih petih dneh.
Prav tako lahko poiščete datoteke glede na njihovo lokacijo. Če bi želeli poiskati vse .php datoteke znotraj direktorija /uploads, bi uporabili naslednji ukaz:
find . -path "*/uploads/*.php" | less
S SSH ukazi pa lahko iščete tudi po vsebini datotek. Tako si na primer pomagate z naslednjimi ukazi:
grep -rlF --include=*.php "base64_decode" . | less
grep -rlF --include=*.php "*/incl" . | less
grep -rlF --include=*.php "Array('1'" . | less
Prvi izmed zapisanih ukazov poišče vse .php datoteke na paketu gostovanja, ki vsebujejo zapis base64_decode. Veliko spletnih virusov namreč v svoji zlonamerni kodi vključuje takšen zapis. Prikazali smo le tri primere, saj je pogostih zapisov, ki jih spletni virusi pogosto vključujejo, še veliko več.
SSH ukazi bodo našli tudi veliko datotek, ki NE vsebujejo zlonamerne kode. Takšnemu dogodku se reče “FALSE POSITIVE“. Zato je pri vseh datotekah potreben tudi natančen ročen pregled, razen če ste 100% prepričani, da je datoteka zlonamerna. Prav tako morate vedeti, da s prikazanimi SSH ukazi morda ne boste našli vseh kompromiranih datotek, saj se spletni virusi stalno spreminjajo in prilagajajo. Za učinkovito čiščenje spletnih virusov je potrebno ustrezno znanje s tega področja.
Priporočamo še pregled dnevniških datotek (ang. raw logs) v nadzorni plošči cPanel, s pomočjo katerih boste lahko preverili, katere .php datoteke so bile spremenjene nazadnje.
Čiščenje kompromiranih datotek paketa gostovanja
Z zgoraj omenjenimi SSH ukazi boste našli tri različne tipe datotek:
- datoteke, ki so v celoti zlonamerne,
- legitimne datoteke, kompromirane z vrinjeno zlonamerno kodo,
- legitimne datoteke, ki ne vsebujejo zlonamerne kode (“false positive”).
Prve datoteke (točka 1), ki ne vsebujejo nič drugega kot zlonamerno kodo, v celoti pobrišite.
Druge datoteke (točka 2) morate očistiti ročno. To storite tako, da datoteko odprete v urejevalniku kode (lahko uporabite tudi cPanel urejevalnik) in zlonamerno kodo ročno odstranite.
Legitimne datoteke (točka 3) lahko ignorirate. Pri iskanju se te datoteke znajdejo med rezultati samo zato, ker vsebujejo podobne znake kot kompromirane datoteke, vendar v resnici niso škodljive.
Iskanje spletnega virusa z orodjem Virus Scanner
Omeniti velja tudi orodje Virus Scanner, do katerega dostopate prek nadzorne plošče cPanel. Gre za grafični vmesnik odprtokodnega anti-virusnega sistema ClamAV. V njem lahko skenirate e-pošto, celoten Home direktorij, public_html (Public Web Space) ali public_ftp (Public FTP Space).
Virus Scanner najde le redkejše in starejše oblike spletnih virusov, zato ne gre pričakovati, da boste z njegovo uporabo našli vse kompromirane datoteke. Spletni virus se s paketa gostovanja lahko temeljito odstrani le z uporabo SSH ukazov.
Za dodatno pomoč nas lahko pokličete na 059 335 000 ali nam pišete na info@neoserv.si.
KOMENTIRAJTE OBJAVO
Vaš komentar je bil uspešno oddan
Komentar bo viden na strani, ko ga naši moderatorji potrdijo.