Skan wirusowy – jak czytać plik?

Skan wirusowy w LH.pl wykonujemy gdy wykryjemy, że serwer jest nadmiernie obciążony lub strona WWW wykazuje nietypowe zachowanie, np. ma bardzo dużo połączeń wychodzących.

Skan wirusowy możemy wykonać także na dyspozycję Klienta, gdy właściciel strony podejrzewa, że witryna mogła paść ofiarą infekcji. Ta operacja jest bezpłatna.

Gotowy skan wirusowy umieszczamy na serwerze klienta w osobnym pliku .txt.

Jak wykonujemy skan wirusowy strony?

Przeskanowanie plików stron polega na sprawdzeniu, czy ich kod zawiera pewne charakterystyczne dla infekcji fragmenty, które możemy uznać za potencjalnie niebezpieczne dla Twojej strony WWW.

Poniżej kilka łańcuchów tekstowych (schematów), których szuka skaner:

String.fromCharCode(104,116
@copy($_FILES
eval
\145\x76\141\x6c\50

Schemat wyniku skanu wygląda następująco:

sciezka/do/potencjalnie/niebezpiecznego/pliku [łańcuch tekstowy]:
kontekst

sciezka/do/innego/potencjalnie/niebezpiecznego/pliku [łańcuch tekstowy]:
kontekst

Etapy skanu wirusowego strony:

  1. Program skanujący tworzy listę plików, które zawierają potencjalnie niebezpieczne fragmenty wraz z krótkim kontekstem.
  2. Następnym krokiem jest przejrzenie pliku wynikowowego i ocena, które fragmenty rzeczywiście są infekcją, a które kodem oryginalnym.

Jak widać lista fragmentów wyszukiwanych przez skaner zawiera także standardowe funkcje PHP, tj. eval. To powód, dla którego wynikowy plik może zawierać wiele oryginalnych fragmentów kodu uznanych przez skaner za niebezpieczne, choć wcale takie nie są – tzw. “false positive”.

Podobnie dzieje się z bazą danych, w której także zdarzają się infekcje. Jednak w tym przypadku nie ma skanera. Odwirusowanie należy wykonywać bez jego pomocy, ręcznie przeglądając bazę danych.

Odwirusowanie strony

  1. Możesz zlecić tę operację inżynierom LH.pl
    Wiedza i doświadczenie administratorów z LH.pl pozwala nam trafnie rozpoznać infekcje i oddzielić je od oryginalnego kodu strony. Koszt odwirusowania to 100 zł netto za każdą odwirusowaną stronę WWW.
  2. Możesz podjąć próbę samodzielnego odwirusowania plików. Instrukcję działania znajdziesz w poniższym linku:
Wirusy na serwerze – co zrobić gdy strona została zainfekowana?