Konta hostingowe są automatycznie skanowane pod kątem zainfekowanych witryn. W przypadku wystąpienia takiego zdarzenia praca witryny jest natychmiastowo wstrzymywana, a właściciel konta hostingowego powiadamiany wiadomością e-mail. Zainfekowane pliki (najczęściej z rozszerzeniem .php, .aspx) wgrywane są w nieautoryzowany sposób i zazwyczaj nie należą do aplikacji. Po przeanalizowaniu plików należy je usunąć.
Powiadomienie e-mail o zainfekowanej witrynie zawiera informację o witrynie oraz nazwie konta hostingowego.
W celu rozwiązania problemu należy zapoznać się z poniższymi metodami. Głównym sposobem wyszukiwania zainfekowanych plików jest skaner antywirusowy dostępny w zakładce "Antywirus" w formularzu edycji witryny. Pozostałe dwie metody należy traktować jako uzupełniające.
Informacje w tym artykule:
- Metoda 1. Skanowanie programem antywirusowym z poziomu formularza edycji witryny
- Metoda 2. Sprawdzenie logów
- Metoda 3. Pobranie katalogu witryny i wyszukanie złośliwego kodu w jej plikach
- Wznowienie pracy witryny i puli aplikacji
Zalogować się w Panelu zarządzania kontem hostingowym.
Przejść do formularza edycji witryny: Witryny -> Nazwa witryny -> zakładka Antywirus.
Lista zainfekowanych plików powinna być widoczna w sekcji "Infected files" (w przypadku braku tej sekcji kliknąć przycisk "Scan Site", aby wykonać skanowanie na żądanie. Po zakończeniu skanowania przejść ponownie do formularza edycji witryny. Jeżeli wynik skanowania zwrócił status "Clean" przejść do kolejnych metod).
Przejść do formularza edycji witryny: Witryny -> Nazwa witryny -> zakładka Antywirus.
Lista zainfekowanych plików powinna być widoczna w sekcji "Infected files" (w przypadku braku tej sekcji kliknąć przycisk "Scan Site", aby wykonać skanowanie na żądanie. Po zakończeniu skanowania przejść ponownie do formularza edycji witryny. Jeżeli wynik skanowania zwrócił status "Clean" przejść do kolejnych metod).
Poprzez Menadżera plików (panel.webio.pl -> Menadżer plików) przejść do katalogu wwwroot danej witryny i sprawdzić zawartość zainfekowanych plików z listy (poniższa zawartość jest typowym przykładem złośliwego oprogramowania). Jeśli pliki nie należą do aplikacji wszystko wskazuje na to, że zostały zainfekowane i wgrane w nieautoryzowany sposób - należy je bezzwłocznie usunąć. Złośliwy kod może być "dołączony" również do pliku należącego do aplikacji (w takim wypadku należy usunąć linijki tylko ze złośliwym kodem). Ostatnim etapem jest ponowne przeskanowanie witryny z poziomu formularza edycji witryny.
W wynikach wyszukiwania mogą znaleźć się również pliki aplikacji, które nie są zainfekowane, dlatego istotne jest dokładne ich przeanalizowanie.
Przejść do Menadżera plików, a następnie w katalogu z nazwą domeny do podkatalogu logs.
Otworzyć katalog W3S... (jeżeli w katalogu logs znajduje się więcej niż jeden katalog z logami należy otworzyć ten, który posiada nowszą datę modyfikacji, gdyż w którymś momencie witryna została usunięta i utworzona na nowo otrzymując w ten sposób inny numer w wewnętrznej numeracji IIS).
Odnaleźć najnowszy plik z logiem znajdujący się na samym dole katalogu.
Pobrać i otworzyć plik w dowolnym edytorze tekstu. Podejrzane pliki znajdują się po XX.XX.XX.XX GET oraz XX.XX.XX.XX POST, gdzie XX.XX.XX.XX jest adresem IP witryny.
W wynikach wyszukiwania mogą znaleźć się również pliki aplikacji, które nie są zainfekowane, dlatego istotne jest dokładne ich przeanalizowanie.
Rozpakować katalog wwwroot i w programie Total Commander (lub dowolnym, innym) przejść do tego katalogu. Uruchomić funkcję wyszukiwania wybierając z menu Polecenia → Szukaj (skrót klawiszowy: Alt F7)
Jako że infekowane są pliki z rozszerzeniem PHP, w polu Szukana sekw. wprowadzić wyrażenie: *.php i zaznaczyć checkbox Znajdź tekst wprowadzając eval(. Kliknąć Zacznij szukać.
Przeanalizować znalezione pliki pod kątem występowania funkcji eval(); gdzie parametrami są ciągi wielu cyfr i liter (przykładowy kod na poniższych zrzutach ekranu). Jeśli pliki nie należą do aplikacji wszystko wskazuje na to, że zostały zainfekowane i wgrane w nieautoryzowany sposób - należy je bezzwłocznie usunąć. Ostatnim krokiem jest wznowienie pracy witryny i puli aplikacji.
W sekcji Sieć i aplikacje kliknąć ikonę Witryny.
Przejść do właściwości witryny klikając jej nazwę.
Kliknąć na ikonę uruchamiającą pracę witryny i puli aplikacji (Website Status oraz App Pool Status powinien zmienić się na "Uruchomiona"). Sprawdzić działanie witryny w przeglądarce internetowej.