Антивирусное сканирование на платформе хостинга

Злоумышленники предпринимают постоянные попытки для установки вредоносного кода на чужие сайты. Он используется для злонамеренной активности: рассылка спама, сетевые атаки, дальнейшее инфицирование чужих ресурсов. Чаще всего это происходит через кражу паролей к FTP и панелям управления хостингом, а также через уязвимости в популярных CMS: WordPress, Joomla!, Drupal.

Такая активность киберпреступников мешает нормальному функционированию как ваших сайтов, так и сайтов других клиентов. Поэтому несколько раз в сутки на платформе хостинга осуществляется автоматическое сканирование новых файлов на предмет наличия в них вредоносного кода. В случае его выявления автоматически предпринимаются меры для удаления оного, а клиенту направляется соответствующее уведомление следующего образца:

Цитата

FILE HIT LIST:
{HEX}php.base64.v23au.186 :
/var/www/example/data/www/example.com/administrator/modules/xml.php
=> /usr/local/maldetect/quarantine/xml.php.2618924006
{HEX}php.base64.v23au.186 :
/var/www/example/data/www/example.com/administrator/modules/mod_multilangstatus/dir56.php
=> /usr/local/maldetect/quarantine/dir56.php.104017012
{HEX}base64.inject.unclassed.7 : /var/www/example/data/www/example.com/index.php
=>
/usr/local/maldetect/quarantine/index.php.1993330613
{HEX}php.base64.v23au.186 :
/var/www/example/data/www/example.com/components/com_contact/controllers/login.php
=> /usr/local/maldetect/quarantine/login.php.2603530476
{HEX}base64.inject.unclassed.7 :
/var/www/example/data/www/example.com/includes/framework.php
=> /usr/local/maldetect/quarantine/framework.php.260901782

Что делать, если нашли вредоносный код на сайте?

К сожалению, простого удаления вредоносного кода недостаточно. Необходимо принять меры для исключения повторного инфицирования вашего сайта: поскольку у злоумышленников эта процедура автоматизирована, то «реинфицирование» может произойти быстро. Поэтому:

Клиенту следует назначить новые надежные пароли для доступа к FTP и панелям управления хостингом, приняв меры для исключения компрометации этих паролей. В частности, они должны быть уникальными, например, не совпадать с паролями к электронной почте. Не записывать пароли в популярных клиентах FTP: их система хранения конфиденциальных данных такого рода весьма ненадежна.

Вторым важным шагом является обновление CMS на сайте до последней актуальной версии с целью устранения уязвимостей. Как это лучше сделать, можно узнать на сайте разработчиков. Также важно обновить не только саму CMS, но и все установленные в ней расширения, дополнения, темы и т.д.

Клиентам рекомендуется регулярно обновлять CMS. С одной стороны это позволяет избежать инфицирования в принципе, а с другой – обновление между минорными версиями создает меньше проблем и проходит более гладко. В то время как старые CMS (например, те, которым уже более года со дня релиза) – это лакомая цель для злоумышленников, вероятность появления проблем при обновлении CMS существенно выше.

После того, как все необходимые меры приняты, следует известить об этом службу поддержки SIM-Networks. Это важно, поскольку в противном случае, при отсутствии какой-либо обратной реакции со стороны клиента и выявлении инцидентов повторного инфицирования, функционирование сайта может быть приостановлено.

У сканера возможны ложные срабатывания, т.е. ситуации, когда легитимный код может быть принят за вредоносный. Чаще всего такое случается, когда разработчики применяют разного рода приемы для защиты своей интеллектуальной собственности. В таком случае необходимо связаться со службой поддержки, объяснить, для чего нужны эти файлы. Они будут восстановлены и внесены в список исключений.