Databáza napadnutá vírusom

Pokiaľ sa napadnutie stránky nachádza v samotnej databáze, je možné využiť vírus skener, podľa návodu na linku tu. Následne sa Vám v dolnej časti stránky zobrazí nasledovné ohlásenie:

V tomto prípade vidíme, že sa jedná o napadnutú databázu s názvom sample123_inf, napadnutie sa nachádza konkrétne v tabuľke wp_posts a podľa popisu sa jedná o string CoinHive. Pri iných zistených napadnutiach databáz sa zobrazí iný názov infikácie. Návody postupne pridáme.
 


Poznámka: odporúčame nasledovné kroky vykonať s opatrnosťou, nakoľko môže prísť ku znefunkčneniu stránky.
 


Napadnutie databázy typu CoinHive:

Ako prvý krok vytvoríme aktuálnu zálohu databázy tým, že si ju môžeme stiahnuť do PC: cez zoznam databáz, vyhľadáme napadnutú databázu a cez tlačidlo Správa - Stiahnuť vykonáme zálohu:

Následne sa môžeme prihlásiť na shell konzolu spojenú s webhostingom, napríklad podľa tohoto návodu:
https://www.websupport.sk/blog/2015/08/webova-konzola-ulahcite-si-pracu-s-hostingom/

A pustíme príkaz na stiahnutie databázy do shellu:

mysqldump -u username -p password -h host -P port database > infected_dump.sql

Pričom je potrebné nahradiť username a password  aktuálnym prihlasovacím menom a heslom do databázy, host externým hostom (napríklad pre MariaDB 10.1 databázu by to bolo mariadb101.websupport.sk), port portom (napríklad 3312).

Následne je možné nad dumpom databázy (zálohou databázy v textovej podobe) pustiť skript, ktorý databázu očistí od nákazy CoinHive:

perl -pe 's#<script[\s\S]*?>[\s\S]*?(CoinHive|authedmine)[\s\S]*?<\/script>##g' < infected_dump.sql > clean_dump.sql

Je možné opať nahrať databázu na server príkazom:

mysql -u username -p password -h host -P port database < clean_dump.sql

Následne je potrebné preveriť funkčnosť stránky, zmena sa prejaví okamžite.

Ako posledný krok odporúčame z dôvodu kapacity vymazať nepotrebné súbory príkazom:

rm infected_dump.sql clean_dump.sql