fbpx
Andrzej Podrez

Jak usunąć wirusa ze strony internetowej

Zgłosiła się do mnie ostatnio firma z Piaseczna z prośbą o pomoc. Zawirusowany WordPress i „zarażone” inne strony internetowe na tym samym serwerze. Usunięcie wirusa z WordPressa to była tylko rozgrzewka. Jedna ze stron zbudowana była na frameworku Laravel i w tym przypadku było już nieco trudniej. To właśnie ta strona posłuży mi jako przykład, ale poniższą metodę można wykorzystać w każdym przypadku gdy wirus zagnieżdża się w plikach na serwerze.

Najpierw skompletujmy niezbędne narzędzia:

  1. WinSCP – do podglądania plików (lub jakiś inny klient ftp)
  2. Total Commander – do przeszukiwania plików na serwerze
  3. Notepad ++ – do edycji zarażonych plików ściągniętych na komputer
  4. Sucuri SiteCheck – Free Website Malware Scanner – do zidentyfikowania złośliwego kodu

Zaczynamy:

Wchodzimy na Sucuri SiteCheck i skanujemy podejrzaną stronę. Powinna się pojawić lista zainfekowanych plików. Wciśnięcie magicznego linku More Details spowoduje, że ujrzymy to czego szukamy: złośliwy kod który został dopisany do plików naszej strony internetowej.

Do przeszukania plików na serwerze w poszukiwaniu powyższego kodu posłużymy się Total Commanderem. Wybieramy fragment kodu wirusa (np: 0x1e35=) i przeszukujemy cały serwer ftp – przedtem jednak musimy wyłączyć ochronę antywirusową swojego komputera (gdy zrobimy to z głową, pozamykamy wszystkie niepotrzebne procesy, nic nie powinno się wydarzyć).

Teraz z pomocą WinSCP lub innego klienta FTP docieramy do każdego z plików z powyższej listy i wykonujemy następujące czynności:

  • kopiujemy zainfekowany plik na swój komputer
  • oryginalny, zainfekowany plik zostawiamy na serwerze ze zmienioną nazwą (ja zawsze dodaję do nazwy pliku 3 x #)
  • pliki na komputerze otwieramy w Notatniku ++ lub innym programistycznym i usuwamy złośliwy kod (trzeba uważać żeby nie usunąć za dużo – za mało też źle)
  • wyczyszczone pliki kopiujemy z powrotem na serwer

Czemu nie usuwamy zainfekowanych plików? Po to żeby w razie gdy po wszystkim strona nam się rozjedzie można było poszukać gdzie popełniliśmy błąd.

Po wyczyszczeniu wszystkich plików komunikat na stronie Sucuri SiteCheck powinien wyglądać mniej więcej tak

Oczywiście przydałoby się jeszcze zaktualizować PHP-a ale to już zupełnie inna historia.

Leave a Comment