Manuálna dezinfekcia napadnutého hostingu

 

Ak ste na vašom hostingu našli napadnuté súbory, ale obnova zo zálohy už nie je možná, okrem reinštalácie celej stránky vám ostáva ešte možnosť napadnuté súbory prečistiť ručne.

 

Stretávame sa s dvoma spôsobmi napadnutia súborov na hostingu. Útočník buď na hostingu vytvorí úplne nový skript, alebo upraví už existujúce súbory.

 

Je vhodné spomenúť, že pokiaľ sa pokúšate prečistiť napadnuté súbory manuálne, je vhodné ovládať aspoň základy PHP. Pred akýmikoľvek úpravami súborov odporúčame vytvorenie si vlastnej zálohy.



 

Screenshot from 2014-11-26 17:54:18.png

 

Pokiaľ bol upravený už existujúci, legitímny PHP skript, pravdepodobne je škodlivý kód vložený na jeho začiatku alebo konci. V tomto prípade bol na začiatok súboru vložený kód, ktorý umožňuje zlomyseľnému návštevníkovi spustiť akýkoľvek príkaz enkódovaný v špeciálnom POST requeste.

 

Zmazaním takto napadnutého skriptu by došlo k problémom so správnym fungovaním vašej stránky, preto buď ručne odstráňte sekciu so škodlivým kódom, alebo súbor prepíšte jeho “čistou” verziou z inštalačného archívu CMS.

 

Screenshot from 2014-11-26 21:02:08.png

 

V iných prípadoch útočník využije bezpečnostné diery CMS na upload úplne nových PHP skriptov. Typicky majú tieto skripty náhodne vygenerovaný názov, a často obsahujú obfuskovaný PHP kód (kód napísaný takým spôsobom, aby nebolo zrejmé akú činnosť skript vykonáva) - tieto skripty môžeme bez výčitiek mazať.