Ноябрь 6th, 2014 
Evgeniy Kamenev Использование внешних ресурсов
1.Проверка на сайтах
http://online.drweb.com/?url=1
http://2ip.ru/site-virus-scaner/
Проверка Google
|
1 |
http://www.google.com/safebrowsing/diagnostic?site=mysite.com |
Проверка ссылок/редиректов
|
1 |
http://www.websiteplanet.com/webtools/redirected |
2. Проверка утилитой ai-bolit
3. Проверка с помощью Linux Malware Detect
https://www.rfxn.com/projects/linux-malware-detect/
|
1 |
# maldet -scan-all /home/sites/mysite.com |
4. WordPress-плагины
Antivirus
https://wordpress.org/plugins/antivirus/
Sucuri Security
https://wordpress.org/plugins/sucuri-scanner/
Использование командной строки
1.Поиск файлов измененных за последнее время(например, за последние 14 дней)
|
1 |
# find /home/sites/mysite.com -type f -mtime -14 |
2.Осмотр лог-файла ftp (/var/log/xferlog ) – если известна примерная дату заражения
3.Просмотр папок, доступных широкому кругу пользователей. Это такие директории, как uploads, image и д.р. Те, в которые могут писать пользователи сайта.
|
1 |
# find /home/sites/mysite.com -type d \( -iname '*upload*' -o -iname '*tmp*' \) |
4.Поиск реальных php-файлов, независимо от их расширения
|
1 |
# file /home/sites/mysite.com/upload/* | grep -i php |
5.Проверка .htaccess
6.Вредоносный код
Вручную вредоносный код можно искать по паттернам. Чаще всего, это либо закодированный в base_64 код, либо обфусцированный по определенному алгоритмому. Имеет смысл искать следующие, наиболее распространенные, приведенны здесь
Поиск вредоносного кода можно осуществлять с помощью команды grep, например
|
1 |
# grep -ril base64_decode /home/sites/mysite.com |
Поиск различных Malware скриптов
http://firstwiki.ru/index.php/%D0%9F%D0%BE%D0%B8%D1%81%D0%BA_%D1%80%D0%B0%D0%B7%D0%BB%D0%B8%D1%87%D0%BD%D1%8B%D1%85_malware_%D1%81%D0%BA%D1%80%D0%B8%D0%BF%D1%82%D0%BE%D0%B2
Поиск/замена iframe вставок с переадресацией на вредоносный сайт,например, на malware.com
Поиск
|
1 |
# find /home/sites/mysite.com -type f | xargs grep -l '<iframe.*malware.com*iframe>' |
Если будут найдены такие iframe, то заменяем их командой
|
1 |
# find /home/sites/mysite.com -type f -exec sed -i 's/<iframe.*malware.com.*iframe>//g' {} ; |
Если в названиях файлов есть пробелы, то используем команды
Для поиска
|
1 |
# find /home/sites/mysite.com -type f -print0 | xargs -0 grep -l '<iframe.*malware.com.*iframe' |
Для замены
|
1 |
# find /home/sites/mysite.com -type f -exec sed -i 's/<iframe.*malware.com.*iframe>//g' "{}" ; |
Источник:
http://www.webhostingbuzz.com/wiki/iframe-injection-hack-recovery/
Опубликовано в рубрике 
Метки: