Антивирусное сканирование на платформе хостинга

Злоумышленники предпринимают постоянные попытки для установки вредоносного кода на чужие сайты. Он используется для злонамеренной активности: рассылка спама, сетевые атаки, дальнейшее инфицирование чужих ресурсов. Чаще всего это происходит через кражу паролей к FTP и панелям управления хостингом, а также через уязвимости в популярных CMS: WordPress, Joomla!, Drupal.

Данная злонамеренная активность мешает нормальному функционированию, как ваших сайтов, так и сайтов других клиентов. Поэтому несколько раз в сутки на платформе хостинга осуществляется автоматическое сканирование новых файлов на предмет наличия в них вредоносного кода. В случае его выявления автоматически предпринимаются меры для удаления оного, а клиенту направляется соответствующее уведомление следующего образца:

FILE HIT LIST:
{HEX}php.base64.v23au.186 :
/var/www/example/data/www/example.com/administrator/modules/xml.php
=> /usr/local/maldetect/quarantine/xml.php.2618924006
{HEX}php.base64.v23au.186 :
/var/www/example/data/www/example.com/administrator/modules/mod_multilangstatus/dir56.php
=> /usr/local/maldetect/quarantine/dir56.php.104017012
{HEX}base64.inject.unclassed.7 : /var/www/example/data/www/example.com/index.php
=>
/usr/local/maldetect/quarantine/index.php.1993330613
{HEX}php.base64.v23au.186 :
/var/www/example/data/www/example.com/components/com_contact/controllers/login.php
=> /usr/local/maldetect/quarantine/login.php.2603530476
{HEX}base64.inject.unclassed.7 :
/var/www/example/data/www/example.com/includes/framework.php
=> /usr/local/maldetect/quarantine/framework.php.260901782

Что делать, если нашли вредоносный код на сайте?

К сожалению, простого удаления вредоносного кода недостаточно. Необходимо принять меры для исключения повторного инфицирования вашего сайта. Поскольку у злоумышленников данная процедура автоматизирована, то произойдет это быстро. Клиенту следует назначить новые надежные пароли для доступа к FTP и панелям управления хостингом. Принять меры для исключения их компрометации. В частности, они должны быть уникальными, например, не совпадать с паролями на электронную почту. Не записывать пароли в популярных клиентах FTP: их система хранения такого рода конфиденциальных данных весьма ненадежна.

Вторым важным шагом является обновление CMS на сайте до последней актуальной версии, с целью устранения уязвимостей. Как это лучше сделать, можно узнать на сайте разработчиков. Также важно обновить не только саму CMS, но и все установленные в ней расширения, дополнения, темы и т.д.

Клиентам рекомендуется обновлять CMS на регулярной основе. С одной стороны это позволяет избежать инфицирования в принципе, а с другой – обновление между минорными версиями создает меньше проблем и проходит более гладко. В то время как старые CMS, например, те, которым уже более года со дня релиза – это лакомая цель для злоумышленников. А вероятность появления проблем при их обновлении существенно выше.

После того, как все необходимые меры приняты, следует известить об этом службу технической поддержки. Поскольку в противном случае при отсутствии какой-либо обратной реакции со стороны клиента и выявлении инцидентов повторного инфицирования, функционирование сайта может быть приостановлено.

У сканера возможны ложные срабатывания, т.е. ситуации, когда легитимный код может быть принят за вредоносный. Чаще всего такое случается, когда разработчики применяют разного рода приемы для защиты своей интеллектуальной собственности. В таком случае необходимо связаться со службой технической поддержки, объяснить, для чего нужны эти файлы. Они будут восстановлены и внесены в список исключений.