Hosting Webas

Jak usunąć zainfekowane pliki z serwera



Artykuł dotyczy panelu WebAs.


Otrzymując wiadomość e-mail dotyczącą zainfekowanych plików zlokalizowanych na jednej z Twoich usług zobowiązany jesteś do ich weryfikacji oraz ewentualnego usunięcia.

Wiadomość składa się z dwóch części:
- wynik skanera AV
- inne potencjalnie zainfekowane pliki.

Wynik skanera AV jest rezultatem programu antywirusowego Avast. Inne potencjalnie zainfekowane pliki typowane są na podstawie zawartości pierwszej linijki kodu skanowanego pliku.
By wyczyścić serwer z tych plików należy wykonać połączenie z serwerem za pomocą SSH bądź FTP.

Jeżeli prawidłowo połączyłeś się z serwerem oraz jesteś w stanie wylistować pliki znajdujące się na swoim koncie możesz przystąpić do usunięcia/zmodyfikowania zainfekowanych plików.


UWAGA
Przed przystąpieniem do oczyszczania serwera z zainfekowanych plików sugerujemy wykonanie kopii zapasowej tych plików. W przypadku, gdy wystąpi problem z funkcjonowaniem serwisu będziesz w stanie przywrócić jego prawidłowe działanie.


Pliki wynikowe powinny być pokazane w poniższym formacie:

Wynik skanera AV:
550 VIRUS - JS:Redirector-8UI [Trj] - ./public_html/mojadomena.pl/index.php
Inne potencjalnie zainfekowane pliki wytypowane na podstawie zawartości pierwszej linijki. Prosimy o ich weryfikację oraz ewentualne usunięcie doklejonych linijek kodu/całych plików - jeśli pliki są Państwa autorstwa bądź są Państwo pewni ich pochodzenia proszę je zignorować:
./public_html/mojadomena.pl/index.php

Znacznik "./" jest skrótem oznaczającym ścieżkę do Twojego konta FTP bądź domeny. Przykładowo, jeśli posiadasz konto o nazwie "domeny" pełna ścieżka do zainfekowanego pliku to:

/home/users/domeny/public_html/mojadomena.pl/index.php

Logując się poprzez FTP bądź SSH od razu znajdujesz się w katalogu głównym danego konta, czyli /home/users/domeny. By odszukać podany plik należy otwierać kolejno podane katalogi "public_html/mojadomena.pl".

Gdy odszukasz potencjalnie zainfekowany plik koniecznie zweryfikuj jego pochodzenie, a także zawartość. Jeśli plik nie jest Twojego autorstwa, a także jego treść wydaje Ci się podejrzana - usuń część zainfekowanego kodu bądź cały plik.

W przypadku innych potencjalnie zainfekowanych plików (jeśli takie istnieją) możesz spotkać się z dopisanym kodem w pierwszej linii skryptu, który może wyglądać następująco:

eval(base64_decode($_POST['nbc8a20']));?>

W takiej sytuacji należy usunąć dopisany kod, który może służyć jako potencjalna luka w oprogramowaniu zainstalowanym w danym serwisie.

Proszę mieć również na uwadze, że skaner AV nie daje 100% gwarancji wykrycia wszystkich zainfekowanych plików, zalecamy zatem manualne sprawdzenie swoich plików w przypadku podejrzeń o infekcji. Złośliwy kod zazwyczaj dopisywany jest w pierwszej linii skryptów php.

Jeśli nie poruszamy tu tematów, które Cię interesują, zadzwoń

Infolinia 501 366 369

Infolinia handlowa 801 801 030

Dział obsługi klienta (12) 296 36 63

Jesteśmy do Twojej dyspozycji od pon. do pt. w godz 8:00-18:00

Formularz kontaktowy

Trwa wysyłanie wiadomości, proszę czekać...
{{ label }}
  • {{ category.label }}