Вредоносные скрипты, как биологические вирусы, постоянно эволюционируют, совершенствуются и перестают быть видимыми для антивирусных программ. Поэтому рекомендуется производить сканирование и выявнение вредоносных скриптов различными сканерами.

В данной статье приводятся отчеты сканирования одного из зараженных сайтов с помощью бесплатных утилит: Linux Malware Detect (R-fx Networks) и Ai-bolit (Revisium)

Linux Malware Detect (LMD) от R-fx Networks — это сканер для Linux, предназначенный для поиска веб-шеллов, спам-ботов, троянов, злонамеренных скриптов и прочих типичных угроз характерных для веб-пространств и особенно актуален для виртуальных шаред-хостинг платформ. Главное отличие от прочих Linux-антивирусов — его веб направленность, сканирование файлов веб-сайтов, ведь обычные антивирусы ориентируются на более глобальные угрозы уровня системы.

Ai-bolit от Revisium — обладает набором эвристических правил, которые позволяют обнаруживать файлы с подозрительным кодом, который часто используется во вредоносных скриптах, или файлы с подозрительными атрибутами, которые могут быть загружены хакерами.

Результаты проверок файлов антивирусными скриптами maldet и ai-bolit представлены ниже.

Отчет maldet:

maldet -q /var/www/user/data/www/
Linux Malware Detect v1.4.2
© 2002-2013, R-fx Networks <[email protected]>
© 2013, Ryan MacDonald <[email protected]>
inotifywait © 2007, Rohan McGovern <[email protected]>
This program may be freely redistributed under the terms of the GNU GPL v2

{quar} invalid quarantine hit list, aborting.
root@:/var/www/user/data/www# maldet -a /var/www/user27295/data/www/
Linux Malware Detect v1.4.2
© 2002-2013, R-fx Networks <[email protected]>
© 2013, Ryan MacDonald <[email protected]>
inotifywait © 2007, Rohan McGovern <[email protected]>
This program may be freely redistributed under the terms of the GNU GPL v2

maldet(17586): {scan} signatures loaded: 10749 (8838 MD5 / 1911 HEX)
maldet(17586): {scan} building file list for /var/www/user/data/www/, this
might take awhile…
maldet(17586): {scan} file list completed, found 11883 files…
maldet(17586): {scan} found ClamAV clamscan binary, using as scanner engine…
maldet(17586): {scan} scan of /var/www/user/data/www/ (11883 files) in prog
ress…
maldet(17586): {scan} processing scan results for hits: 1 hits 0 cleaned
maldet(17586): {scan} scan completed on /var/www/user/data/www/: files 1188
3, malware hits 1, cleaned hits 0
maldet(17586): {scan} scan report saved, to view run: maldet --report 051215-1325.17586

malware detect scan report for server.cishost.ru:
SCAN ID: 051215-1325.17586
TIME: май 12 13:26:22 +0300
PATH: /var/www/userXXXXX/data/www/
TOTAL FILES: 11883
TOTAL HITS: 1
TOTAL CLEANED: 0

FILE HIT LIST:
{CAV}Linux.Trojan.Mumblehard-3: /var/tmp/hDlUMV => /usr/local/maldetect/quarantine/hDlUMV$

Отчет ai-bolit:

root[27295/data/www/site.ru/andis-agc-2productForpets.png] 11726 of 16619. [Avg: 4 files/s Left: 20 m ] [Mlw:2|1] Building report [ mode = 1 ] Building list of vulnerable scripts 0 Building list of shells 2 Building list of js 0
Building phishing pages 0
Building list of unix executables and odd scripts 0
Building list of iframes 1
Building list of base64s 0
Building list of redirects 0
Building list of unread files 721
Building list of symlinks 0
Building list of heuristics 0
Building list of hidden files 0
Building list of bigfiles 38
Building list of php inj 0
Building list of adware 1
Building list of empty links 0
Building list of doorways 2
Building list of php warnings 16
Building list of skipped dirs 0

Report written to '/var/www/userXXXX/data/www/site.ru/AI-BOLIT-REPORT-12-05-2015_14-43-206240.html'.
Scanning complete! Time taken: 2 s

Вывод

Различные сканеры показывают свои результаты. Берегите свои сайты от взлома! Для лечения сайтов от вирусов необходимо использовать комплексный подход.: устанавливайте сложные пароли, обновляйте CMS до последних версий с устраненными дырами в скрипте, внимательно относитесь к установке различных кодов рекламных бирж типа sape.ru, а так же различные тизерные скрипты, в случае подозрения на взлом проверьте файлы сайта в соответсвии с Базовыми рекомендациями по защите и выявлению угроз представлены в статье: blog.cishost.ru/blog/articles/16.html.

По всем возникающим вопросам пишите в Центр поддержки биллинговой системы. Не затягивайте с решением вопроса, так как резервные копии аккаунта, с еще не зараженными файлами сайта, на момент обращения в техподдержку уже могут быть удалены.