Otrzymując wiadomość e-mail dotyczącą zainfekowanych plików zlokalizowanych na jednej z Twoich usług zobowiązany jesteś do ich weryfikacji oraz ewentualnego usunięcia.
Wiadomość składa się z dwóch części:
- wynik skanera AV
- inne potencjalnie zainfekowane pliki
Wynik skanera AV jest rezultatem programu antywirusowego Avast. Inne potencjalnie zainfekowane pliki typowane są na podstawie zawartości pierwszej linijki kodu skanowanego pliku. By wyczyścić serwer z tych plików należy wykonać połączenie z serwerem za pomocą SSH bądź FTP.
Zobacz instrukcję jak połączyć się z serwerem za pomocą SSH.
Zobacz, jak połączyć się z FTP.
Jeżeli prawidłowo połączyłeś się z serwerem oraz jesteś w stanie wylistować pliki znajdujące się na swoim koncie możesz przystąpić do usunięcia/zmodyfikowania zainfekowanych plików.
UWAGA
Przed przystąpieniem do oczyszczania serwera z zainfekowanych plików sugerujemy wykonanie kopii zapasowej tych plików. W przypadku, gdy wystąpi problem z funkcjonowaniem serwisu będziesz w stanie przywrócić jego prawidłowe działanie.
Pliki wynikowe powinny być pokazane w poniższym formacie:
Znacznik „./” jest skrótem oznaczającym ścieżkę do Twojego konta FTP bądź domeny. Przykładowo, jeśli posiadasz konto o nazwie „mojeftp” pełna ścieżka do zainfekowanego pliku to:
/home/users/mojeftp/public_html/mojadomena.pl/index.php
Logując się poprzez FTP bądź SSH od razu znajdujesz się w katalogu głównym danego konta, czyli /home/users/mojeftp. By odszukać podany plik należy otwierać kolejno podane katalogi „public_html/mojadomena.pl”.
Gdy odszukasz potencjalnie zainfekowany plik koniecznie zweryfikuj jego pochodzenie, a także zawartość. Jeśli plik nie jest Twojego autorstwa, a także jego treść wydaje Ci się podejrzana – usuń część zainfekowanego kodu bądź cały plik.
W przypadku innych potencjalnie zainfekowanych plików (jeśli takie istnieją) możesz spotkać się z dopisanym kodem w pierwszej linii skryptu, który może wyglądać następująco:
W takiej sytuacji należy usunąć dopisany kod, który może służyć jako potencjalna luka w oprogramowaniu zainstalowanym w danym serwisie.
Proszę mieć również na uwadze, że skaner AV nie daje 100% gwarancji wykrycia wszystkich zainfekowanych plików, zalecamy zatem manualne sprawdzenie swoich plików w przypadku podejrzeń o infekcji. Złośliwy kod zazwyczaj dopisywany jest w pierwszej linii skryptów php.
