Hogyan lehet eltávolítani a vírust a tárhely - hogyan kell egy hely
Hogyan lehet eltávolítani a vírust a tárhely
Ha 5 évvel ezelőtt a török hackerek, és nyissa meg a régi helyén phpBB2, csak azt írta a honlapon: „Üdvözlet Törökország”, ma hacker oldalak - jövedelmező vállalkozás. Webhelyen elhelyezheti transzparensek, átirányítja az affiliate program, egy darab 500 linkeket a kapualjak, egyszerűen feltöltheti a helyszínen is ajtóban mélységben - a bevételszerzési lehetőségeket a fehér és bolyhos hely valaki másnak a zsebében nevelt sokat. Mit lehet tenni a mi oldalunkról a barikád ellenállni a rosszindulatú szkriptek? Tippek közhely, megverték, és sok duplikált az interneten:
Mi a teendő, ha egy vírus belopakodott a tárhely és a fertőzött, például az összes * .php fájlokat az integráció? Kezdeni - ne essen pánikba.
4.3 keresünk a létrehozott fájlokat alatt egy adott időszak:találni / home / vasya123 / -ctime -40 -ctime 10> files.txt
A fenti parancs megkeresi a fájlokat 40-10 nappal ezelőtt, és írja az eredményt files.txt Ezek a listák igen kiterjedt miatt munkamenet fájlokat, log fájlokat és egyéb tevékenységek a helyek, de elengedhetetlen, hogy végezzen annak érdekében, hogy azonosítsák a „gyerek” inklyudy a hasznos fájlokat egy egyszerű átirányítást a támadó domén vagy más, nem titkosított base64_decode lépéseket. Mivel az időre van szükség, hogy a kísérlet, ha tudjuk, a pontos dátum fertőzés. Továbbá, a paramétereket kell próbálni -atime -mtime ennek a csapatnak.
5.1 A dátum a legkorábbi öntött héj vagy módosított fájlt keres egy lyukat a CMS, amelyen keresztül a támadó mászott. Ehhez nézd meg naplókat az összes webhely a megadott időn belül a gyanús kért URL, ami olyasmi, mint site1.ru/?id=9999+union+select+null,'>',null+from+table1+into+outfile+'/usr /local/site/www/banners/cmd.php'/* és közeli vagy azt a bizonyos lyuk vagy frissítéseket minden CMS egészen a legutóbbi versii.5.2 Távolítsuk el a áztatta Shelley. Találunk benne egy egyedi karaktersorozat, sajátos, csak őket, és eltávolítjuk a grep:
grep -rls «2362634892tut egyedi kódot, hogy ne töröljön hasznos fayly354345345" / home / vasya123 | xargs rm -rf
Korábban, persze, meg kell futtatni grep nem érv | xargs rm -rf, hogy megbizonyosodjon arról, hogy ők keresnek szigorúan rosszindulatú fayly.5.3 Ha egy hacker regisztrált ugyanaz a darab hasznos fájlok rosszindulatú kódot, akkor segít ez php script Meg kell korrigálni, hogy illeszkedjen az Ön igényeinek, és fut a gyökér minden oldalon keresztül egy böngésző. Van is egy csodálatos script Aibolit aki keres, vírusok és sebezhetőségek az oldalon, de nagyon gyanús
Tulajdonképpen ennyi. A legfontosabb dolog -, hogy megtanulják a logika: elsőként, távolítsa el a lyukat, akkor csak vegye ki a hatását a lyukat. Ellenkező esetben, egy hacker kihasználja a biztonsági rést újra.
2 válaszok
grep -rls «chast_koda_virusa” / home / vasya123 | xargs rm -rf
távolítsa el a fájlokat, amik a fertőzés, de néha ezek a fájlok is működőképes marad a fertőzés után, így jobb, hogy a „kúra” erre, használja az alábbi parancsot
find / path / to / files / | míg olvasható file; do sed -i '/ chast_vredonosnogo_koda / d' $ FILE; csinált
Ez a parancs törli a sort, amely tartalmazza a vírus kódját, és nem nyúl semmi mást. Ennek eredményeképpen megkapjuk a munkát, és nem a fertőzött fájlt.