Vou mostrar neste post
Como limpar e verificar malware no sitea partir do seu site. Alguns meses atrás um dos meus sites foi comprometida por timthumb vulneravility 0-day e que o hacker adicionado algum código malicioso em meu site. O código era algum tipo de malware que redireciona minha página para outra.
Primeiro eu usei o scanner de vírus fornecida pela cPanel mas não detecta nada de perigoso, mas meu site ainda mostra um alerta em algum AntiVirus (Avast e NOD) assim que eu decidi iniciar uma pesquisa. Agora eu vou mostrar os passos que eu segui:1) Faça backup do meu site antes de fazer qualquer alteração (adicionar na palavra de nome backup "infectados" para lembrar que esta cópia de segurança pode conter malware).2) Procurar o código malicioso no meu site (incluindo arquivos de html, php, arquivos JavaScript e banco de dados).3) Eliminar o código maliciosos e busca de outras possíveis arquivos infectados.4) Fixe o site para não ser infectado novamente.
O primeiro passo é muito simples e um webmaster decente deve saber como fazer o backup site.
O segundo passo é talvez a mais complexa e existe muitas maneiras de fazê-lo. Mas precisamos saber qual é o código malicioso para começar. Temos que saber como se parece o código malicioso. Para esta tarefa eu usei o aviso do meu antivírus que me mostra o nome do malware e poderia google para encontrar uma página muito útil wich é um scanner de malware online:
Use esta página para verificar seu site e obter informações sobre que tipo de malware infectou você. Então eu preciso localizar onde está o código malicioso na minha página de índice, para esta tarefa eu usei:
http://www.rexswain.com/httpview.html
Esta página mostra os conteúdos sem executar javascript wich às vezes é prestável de qualquer maneira você pode visualizar o código fonte de seu site usando a funcionalidade embutida navegador.
Eu localizei o código malicioso, era javascript que redireciona o meu site para outra página. Então eu tentei procurar diretamente o javascript em meus arquivos, mas infelizmente não encontrei o código javascript em alguns de meus arquivos, que era muito estranho.Para realizar a pesquisa que você pode baixar uma cópia de segurança dos arquivos do seu site para o seu computador e uso da função de busca do Windows para pesquisar em conteúdos de arquivos ou você pode usar outro aplicativo para pesquisar conteúdo em arquivos. Se você tiver acesso SSH ao seu servidor você pode executar comandos como:
find / usr / www / myweb /-name '*.' | xargs grep-E 'malicious_code'
Na minha situação não i foundnd o javascript diretamente em meus arquivos, pois foi incorporado com uma função estranha ofuscado em um arquivo php. Na maioria das vezes isso funciona ofuscadas fazer uso de algumas funções do php como "eval" ou "base64_decode", então eu apontava a minha investigação sobre os arquivos que contais as palavras-chave e eu poderia encontrar o malware embutido. Então eu simplesmente limpo o arquivo php (na minha situação o hacker apenas um arquivo infectado).Para terminar i proteger o site atualizar timthumb a versão mais recente.
Lembre-se que o hacker pode usar o banco de dados para armazenar um código malicioso e, em seguida, solicitar-lhe com uma consulta SQL, assim que realizar uma busca de algumas palavras-chave que podem ser perigosos em seu banco de dados. Um exemplo de palavras-chave para pesquisar no banco de dados pode ser <script>, eval, base64_decode, etc ...
Nenhum comentário:
Postar um comentário