Перейти к основному контенту

Как проверить выделенный сервер на наличие вирусов

Проверить Dedicated сервер на наличие вредоносного ПО можно при помощи сканера Linux Malware Detect.
Все действия необходимо производить по SSH.

Установка сканера

Соединитесь с сервером по SSH: Подключение к серверу по SSH. Последовательно выполните следующие команды:

  1. cd /usr/local/src/
  2. wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
  3. tar -xzf maldetect-current.tar.gz
  4. cd maldetect-*
  5. sh ./install.sh

Запуск сканирования

Выполните команду:

maldet -b -a /var/www/

Данной командой будет запущено фоновое задание на сканирование каталога /var/www/. При необходимости вы можете указать любой другой каталог.

Проверка результатов сканирования

Сканирование может идти продолжительное время и зависит от объёма данных. Чтобы проверить, закончилось ли сканирование, выполните команду: ps -aux | grep [m]aldet.

Пример вывода команды:

ps aux | grep [m]aldet
root     12429 17.8  0.0 118408  6304 pts/0    S    09:24   1:35 bash /usr/local/sbin/maldet -b -a /var/www/user/data/www/mysite.ru/

В примере видно, что запущено сканирование каталога /var/www/user/data/www/mysite.ru/ и процесс ещё идёт. В данном случае нужно ещё ждать окончания сканирования. Если же вывод команды пустой, то сканирование закончилось, можно проверять результат, для этого выполните команду maldet -e.

Пример вывода команды:

HOST:      5-63-155-200
SCAN ID:   160721-1022.31393
STARTED:   Jul 21 2016 03:19:34 +0400
COMPLETED: Jul 21 2016 10:22:42 +0400
ELAPSED:   0s [find: 0s]

PATH:          /var/www/user/data/www/mysite.ru/
TOTAL FILES:   37845
TOTAL HITS:    1
TOTAL CLEANED: 0

WARNING: Automatic quarantine is currently disabled, detected threats are still accessible to users!
To enable, set quarantine_hits=1 and/or to quarantine hits from this scan run:
/usr/local/sbin/maldet -q 160721-1022.31393

FILE HIT LIST:
{MD5}php.cmdshell.unclassed.4690  :  /var/www/user/data/www/mysite.ru/pgtz.php

В примере видно, что сканирование продолжалось 7 часов (с 03:19:34 до 10:22:42). Было проверено 37845 файлов (TOTAL FILES) и найдена одна угроза (TOTAL HITS).

В нижней части вывода команды приведён список файлов, в которых найдены угрозы (FILE HIT LIST). В нашем примере файл один: /var/www/user/data/www/mysite.ru/pgtz.php и в нём найден cmdshell. Данный файл необходимо проанализировать, удалить вредоносные куски кода или вовсе удалить файл целиком.

Чтобы выйти из отчёта maldet нажмите «Shift» + «:» (двоеточие необходимо набирать в латинской раскладке — клавиша с буквой «Ж»). После этого введите «q» и нажмите «Enter».

Внимание
Будьте аккуратны в удалении файлов, не удалите случайно критически важные файлы для работы сайта. Перед любой чисткой вирусов рекомендуем создавать резервную копию сайта.
Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0