Сканирование вирусов: ESET Online Scanner | ESET

Как проверить выделенный сервер на наличие вирусов

Проверить Dedicated сервер на наличие вредоносного ПО можно при помощи сканера Linux Malware Detect.
Все действия необходимо производить по SSH.

Установка сканера

Соединитесь с сервером по SSH: Подключение к серверу по SSH. Последовательно выполните следующие команды:

1. cd /usr/local/src/
2. wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
3. tar -xzf maldetect-current.tar.gz
4. cd maldetect-*
5. sh ./install.sh

Запуск сканирования

Выполните команду:

maldet -b -a /var/www/

Данной командой будет запущено фоновое задание на сканирование каталога /var/www/. При необходимости вы можете указать любой другой каталог.

Проверка результатов сканирования

Сканирование может идти продолжительное время и зависит от объёма данных. Чтобы проверить, закончилось ли сканирование, выполните команду:

ps -aux | grep [m]aldet

Пример вывода команды:

ps aux | grep [m]aldet
root     12429 17. 8  0.0 118408  6304 pts/0    S    09:24   1:35 bash /usr/local/sbin/maldet -b -a /var/www/user/data/www/mysite.ru/

В примере видно, что запущено сканирование каталога /var/www/user/data/www/mysite.ru/ и процесс ещё идёт. В данном случае нужно ещё ждать окончания сканирования. Если же вывод команды пустой, то сканирование закончилось, можно проверять результат, для этого выполните команду:

maldet -e

Пример вывода команды:

HOST:      5-63-155-200
SCAN ID:   160721-1022.31393
STARTED:   Jul 21 2016 03:19:34 +0400
COMPLETED: Jul 21 2016 10:22:42 +0400
ELAPSED:   0s [find: 0s]

PATH:          /var/www/user/data/www/mysite.ru/

TOTAL FILES:   37845
TOTAL HITS:    1
TOTAL CLEANED: 0

WARNING: Automatic quarantine is currently disabled, detected threats are still accessible to users!
To enable, set quarantine_hits=1 and/or to quarantine hits from this scan run:
/usr/local/sbin/maldet -q 160721-1022.  31393

FILE HIT LIST:
{MD5}php.cmdshell.unclassed.4690  :  /var/www/user/data/www/mysite.ru/pgtz.php

В примере видно, что сканирование продолжалось 7 часов (с 03:19:34 до 10:22:42). Было проверено 37845 файлов (TOTAL FILES) и найдена одна угроза (TOTAL HITS).

В нижней части вывода команды приведён список файлов, в которых найдены угрозы (FILE HIT LIST). В нашем примере файл один: /var/www/user/data/www/mysite.ru/pgtz.php и в нём найден cmdshell. Данный файл необходимо проанализировать, удалить вредоносные куски кода или вовсе удалить файл целиком.

Чтобы выйти из отчёта maldet нажмите «Shift» + «:» (двоеточие необходимо набирать в латинской раскладке — клавиша с буквой «Ж»). После этого введите «q» и нажмите «Enter».

Внимание

Будьте аккуратны в удалении файлов, не удалите случайно критически важные файлы для работы сайта. Перед любой чисткой вирусов рекомендуем создавать резервную копию сайта.

Помогла ли вам статья?

Да

раз уже помогла

Вирусы на Битрикс: сканирование и удаление вредоносного кода с сайта с иллюстрациями и примерами сайтов | Битрикс

Вирусы на Битрикс: сканирование и удаление вредоносного кода с сайта с иллюстрациями и примерами сайтов | Битрикс | АЛЬФА Системс АЛЬФА Системс

Готовые решения на 1С-Битрикс

1. Главная
2. Полезные материалы
3. Новости
4. Вирусы на Битрикс: сканирование и удаление вредоносного кода с сайта

Новость

912

Владельцы сайтов и интернет-магазинов, работающих на CMS Битрикс, регулярно сталкиваются с проблемой массового заражения вирусами и взломами проектов. Это связано с критической уязвимостью, которая присутствует в старых версиях Битрикс и позволяет удаленно залить вредоносный код на сервер. 

Уязвимость была обнаружена еще в середине 2022 года, после чего произошла первая волна массовых взломов. Сейчас же происходит вторая волна, которая затрагивает практически все сайты с неактуальной версией Битрикс и ненадлежащими настройками безопасности.

Заражение сайта на Битрикс вирусом имеет сразу несколько негативных действий:

• Уменьшается быстродействие сайта;
• Происходит переадресация на другие страницы, что ухудшает деловую репутацию компании;
• Возможно заражение компьютеров посетителей, что создает негативное впечатление о компании у пользователей;
• Снижаются или полностью прекращаются продажи из-за невозможности обработать запросы пользователей.

Кто в зоне риска

• Все не обновленные версии Битрикс.
• Обновленные версии Битрикс с незакрытыми уязвимостями

Как понять, что ваш сайт инфицирован

• Вы обнаруживаете перенаправления на чужие сайты;
• Хостинг пишет вам о том, что на вашем сайте обнаружен вредоносный код;
• Яндекс Вебмастер выдаст вам соответствующее сообщение;
• Ваши страницы полностью исчезли из индекса;
• Контекстная реклама Яндекс Директ остановила все ваши объявления без конкретных причин;
• Ваш сайт начал медленно работать и некоторое время был недоступен;
• На сайте появляются страницы, которые не относятся к тематике вашего сайта (как правило, запрещенная тематика).

Что входит в услугу

1. Поиск и удаление вредоносного кода

   Проведем сканирование вашего сайта на программном мониторе. Поможем очистить сайт от вредоносного кода и восстановить функционирование сайта.

2. Выполнение рекомендаций сканера безопасности

   Сканер безопасности — это служба мониторинга уязвимостей безопасности веб-сайтов. Сканер производит локальную и внешнюю проверки.Внешнее сканирование позволяет произвести проверку сайта «снаружи». Локальная — отвечает за проверки, которые невозможно/нецелесообразно выполнить “снаружи”, например, настройки сайта или исполнение php/python/perl/etc скриптов. Наши специалисты помогут устранить все уязвимости, которые выявил сканер безопасности при локальном и внешнем сканировании

3. Настройка проактивного фильтра

   Проактивный фильтр защищает от большинства известных атак. Он распознает потенциальные угрозы и блокирует вторжения на сайт, анализирует и фильтрует данные, которые поступают от посетителя через переменные и куки.

   Проактивный фильтр – это наиболее эффективный способ защиты от возможных ошибок безопасности, допущенных при реализации интернет-проекта (XSS, SQL Injection, PHP Including и ряда других).

   Все попытки атак Проактивный фильтр фиксирует в специальном журнале и при этом информирует администратора сайта о случаях вторжения. Фильтр может заблокировать атакующего, добавив его IP-адрес в стоп-лист.

4. Установка Веб-антивируса

   Веб-антивирус препятствует внедрению вредоносного кода в веб-сайт. Он выявляет в HTML коде потенциально опасные участки и вырезает подозрительные объекты из кода сайта. Веб-антивирус уведомляет администратора сайта о найденных вирусах или подозрительных частей кода.

5. Подключение двухэтапной авторизации

   Для дополнительной защиты на сайте рекомендуется включить двухэтапную авторизацию. Это метод защиты от шпионских программ с помощью авторизации в два этапа. Первый – это основной логин и пароль пользователя. Второй – это одноразовый код, который каждый пользователь получает из приложения в своем мобильном телефоне или со специального устройства.

   В результате, даже если логин и пароль будут украдены, злоумышленники не смогут ими воспользоваться без одноразового кода.

6. Настройка контроля активности

   Контроль активности позволяет установить защиту от чрезмерно активных пользователей, программных роботов, некоторых категорий DDoS-атак, а также отсекать попытки подбора паролей перебором.

7. Ограничение хостов/доменов

   Блокирует открытие сайта по адресам, которые отличаются от разрешенных вами. Это делается за счет проверки и запрета подмены HTTP-заголовка Host.

8. Настройка резервного копирования

   Создание резервных копий защитит вас от потери важнейших данных на сайте или даже всего сайта в результате чьих-либо действий. Мы создадим архивную версию файлов сайта, настроим автоматическое резервное копирование данных в облачные хранилища, а также настроим автоматическое деление архивов на части, когда размер несжатых данных превышает 1Гб.

Что я получу в результате

• Надежная защита вашего сайта
• Полное удаление найденного вредоносного кода
• Ликвидация последствий заражения вашего сайта
• Рекомендации по профилактике повторного заражения

Вернуться

Рекомендуем почитать

623

913

814

1110

968

За нами можно следить в социальных сетях

Облако тэгов

#b2b

Рекомендуем почитать

Статья 623

Новость 912

Совет 814

Лайфхак 1110

Лайфхак Совет 968

Статья 934

Обзор 1103

Обновление 992

Обновление 2641

Обновление 2400

Статья 4280

Статья 9076

Больше интересных статей

Есть вопросы — спрашивайте!

Задать вопрос

Настройка антивирусного сканирования

Настройка антивирусного сканирования

3. 8 Настройка антивирусного сканирования

Для работы с MailMarshal антивирусный продукт должен предлагать интерфейс командной строки или поддерживаться пользовательской библиотекой DLL MailMarshal. Сканер должен вернуть документированный ответ, указывающий, обнаружен ли вирус. Большинство имеющихся в продаже антивирусных сканеров соответствуют этим спецификациям. Дополнительные сведения о поддерживаемых антивирусных продуктах см. в статье Q109 базы знаний Trustwave.23.

Чтобы разрешить MailMarshal использовать ваш антивирусный продукт для сканирования электронной почты на наличие вирусов, сначала исключите определенные папки MailMarshal из проверки на наличие вирусов. Служба MailMarshal Engine не запускается, если антивирусный продукт сканирует эти папки. Затем вы должны настроить MailMarshal для использования установленного вами антивирусного продукта.

3.8.1 Исключение рабочих папок из сканирования на вирусы

MailMarshal использует ряд папок для обработки и помещения в карантин сообщений электронной почты, возможно, включая зараженные вирусом сообщения. MailMarshal не будет работать, если эти папки сканируются антивирусным или антивирусным продуктом.

Чтобы предотвратить сканирование этих рабочих папок, вы должны настроить продукты для сканирования, чтобы исключить определенные рабочие папки на каждом сервере MailMarshal. Вы должны исключить эти рабочие папки, даже если вы не настроили MailMarshal для сканирования на наличие вирусов с помощью антивирусного продукта. Если сканер вирусов не имеет возможности исключить соответствующие папки, необходимо полностью отключить проверку при доступе для этого сканера.

Некоторые сканеры также автоматически включают функцию интернет-защиты. В этом случае отключите параметр интернет-защиты в дополнение к отключению параметра сканирования при доступе.

MailMarshal проверяет сканирование резидентных файлов, записывая стандартный тестовый вирусный файл eicar.com (не настоящий вирус) в каждую из папок, которые необходимо исключить из сканирования. Если какая-либо копия тестового файла удаляется резидентным сканером или если MailMarshal отказано в доступе к файлам, служба MailMarshal Engine на сервере не запускается, и MailMarshal отправляет уведомление по электронной почте администратору.

Если проверка прошла успешно, MailMarshal удаляет копии файла eicar.com, сохраняя оригинал в папке Unpacking\avcheck.

По умолчанию программа установки MailMarshal создает рабочие папки в папке установки MailMarshal. Если при установке продукта вы выберете другое имя папки или расположение на диске, вы должны исключить папки в указанном месте установки.

Вы можете проверить расположение этих папок, запустив MailMarshal Server Tool из группы MailMarshal Tools в группе программ MailMarshal на каждом сервере. Щелкните вкладку «Папки», чтобы увидеть расположение папок. Дополнительные сведения см. в разделе «Изменение расположения папок».

Информацию об исключении папок из сканирования при доступе см. в документации к антивирусному продукту. Например, в Network Associates NetShield можно указать исключения на вкладке «Исключения» в свойствах сканирования.

В панели управления антивирусным продуктом исключите следующие папки MailMarshal из проверки на вирусы:

C:\Program Files\Trustwave\Secure Email Gateway\Quarantine

C:\Program Files\Trustwave\Secure Email Gateway\Queues\Decryption

C:\Program Files\Trustwave\Secure Email Gateway\Queues\Incoming

C:\Program Files\Trustwave\Secure Email Gateway\Распаковка

MailMarshal использует папки в папке «Карантин» для хранения сообщений, в том числе помещенных в карантин действиями правила сканирования на вирусы. Продукт сохраняет электронную почту в папках Queues\Decryption и Queues\Incoming в ожидании обработки.

MailMarshal копирует файлы в папку Unpacking для проверки на наличие вирусов. Если антивирусный сканер находит и удаляет файл в папке «Распаковка» до того, как MailMarshal проверит его на наличие вирусов, MailMarshal может определить, что файл не содержит вирусов, и доставить электронное письмо с вирусом.

3.8.2 Настройка MailMarshal для использования антивирусного продукта

Если вы установили MailMarshal как массив с более чем одним сервером, вы должны сделать одни и те же антивирусные сканеры доступными на всех серверах MailMarshal Server. Вы можете сделать сканер доступным, установив его на сервер MailMarshal или, в некоторых случаях, удаленно установив антивирусный сканер и настроив MailMarshal для доступа к нему.

Если вы устанавливаете вирусное программное обеспечение из командной строки более чем на один сервер MailMarshal, вы должны установить его в одно и то же место (одна и та же буква диска и папка) на каждом сервере.

Чтобы настроить поиск вирусов в MailMarshal:

1. Убедитесь, что вы установили один или несколько поддерживаемых антивирусных сканеров на каждый компьютер MailMarshal Server, следуя инструкциям производителя.

2. Убедитесь, что сканер не выполняет сканирование по требованию папок, исключенных MailMarshal. Дополнительные сведения см. в разделе «Исключение рабочих папок из проверки на вирусы».

3. Откройте веб-сайт консоли управления MailMarshal.

4. На левой панели в разделе Конфигурация разверните Элементы политики.

5. В списке меню правой панели щелкните Сканеры вирусов.

6. На левой панели консоли управления щелкните Элементы политики, а затем выберите Сканеры вирусов.

7.Нажмите Добавить.

Примечание. Для получения подробных инструкций по добавлению сканеров щелкните Справка.

8.Выберите антивирусный сканер из списка.

 

9. Если вы настраиваете сканер из командной строки, в поле «Путь» введите расположение программы антивирусного сканирования, например, c:\McAfee\Scan. exe.

10. Если вашего сканера командной строки нет в списке и вы выбрали «Новая командная строка», укажите необходимые дополнительные сведения. Для получения помощи см. Справка.

11.Нажмите «Сохранить», чтобы добавить антивирусный сканер. MailMarshal проверит действие сканера на каждом установленном сервере обработки электронной почты MailMarshal.

12. Если вы планируете использовать более одного сканера вирусов, повторите шаги с 7 по 11 для каждого сканера.

Автоматизируйте сканирование вредоносных программ для файлов, загруженных в облачное хранилище

Последняя проверка 17 мая 2023 г. по всемирному координированному времени

В этой эталонной архитектуре показано, как построить управляемый событиями конвейер, может помочь вам автоматизировать проверку файлов на наличие вредоносных программ, таких как трояны, вирусы и другой вредоносный код. Ручная оценка большого количества файлов которые загружаются в Облачное хранилище слишком много времени для большинства приложений. Автоматизация процесса может помочь вам сэкономить время и повысить эффективность.

Конвейер в этой архитектуре использует продукты Google Cloud вместе с с открытым исходным кодом антивирусного ядра ClamAV. Вы также можете использовать любой другой механизм защиты от вредоносных программ, который выполняет сканирование в контейнерах Linux. В этой архитектуре ClamAV работает в Docker. контейнер, размещенный в Облачный бег. Конвейер также записывает записи журнала в Облачное ведение журнала и записывает показатели для Облачный мониторинг.

Архитектура

На следующей диаграмме представлен обзор архитектуры:

В архитектуре представлены следующие конвейеры:

• Конвейер сканирования загружаемых пользователем файлов, который проверяет, содержит ли загруженный файл вредоносное ПО.
• Конвейер обновления зеркала базы данных вредоносного ПО ClamAV, который поддерживает актуальное зеркало базы вредоносных программ, которые использует ClamAV.

Более подробно трубопроводы описаны в следующих разделах.

Конвейер сканирования загружаемых пользователем файлов

Конвейер сканирования файлов работает следующим образом:

1. Конечные пользователи загружают свои файлы в несканированное облачное хранилище ведро.
2. Служба Eventarc перехватывает это событие загрузки и сообщает Служба Cloud Run об этом новом файле.
3. Служба Cloud Run загружает новый файл из несканированное ведро Cloud Storage и передает его вредоносному ПО ClamAV сканер.
4. В зависимости от результата сканирования на наличие вредоносного ПО служба выполняет одно из следующие действия:
   • Если ClamAV заявляет, что файл чист, то он перемещен из неотсканированное ведро Cloud Storage до чистый Ведро облачного хранилища.
   • Если ClamAV заявляет, что файл содержит вредоносное ПО, значит, он перемещен из неотсканированное ведро Cloud Storage в помещенное в карантин Ведро облачного хранилища.
5. Служба сообщает о результате этих действий в Ведение журнала и Мониторинг, позволяющий администраторам принимать меры.

Конвейер обновления зеркала базы данных ClamAV Malware

Конвейер обновления зеркала базы данных ClamAV Malware поддерживает актуальность личное локальное зеркало базы данных в облачном хранилище. Это гарантирует, что общедоступный ClamAV доступ к базе данных осуществляется только один раз для каждого обновления, чтобы загрузить меньший разностный обновляет файлы, а не всю базу данных, что предотвращает любое ограничение скорости.

Этот конвейер работает следующим образом:

1. Задание Cloud Scheduler настроено на запуск каждые два часа, который совпадает с интервалом проверки обновлений по умолчанию, используемым ClamAV. сервис фрешклэм. Это задание отправляет HTTP-запрос POST к Служба Cloud Run дает указание обновить вредоносное ПО зеркало базы данных.
2. Экземпляр Cloud Run копирует зеркало базы данных вредоносных программ из корзины Cloud Storage в локальную файловую систему.
3. Затем экземпляр запускает ClamAV CVDОбновление инструмент, который загружает любые доступные дифференциальные обновления и применяет их к зеркало базы данных.
4. Затем он копирует обновленное зеркало базы данных вредоносных программ обратно в Ведро облачного хранилища.

При запуске ClamAV фрешмоллюск служба, работающая в экземпляре Cloud Run, загружает база данных вредоносных программ из облачного хранилища. Во время выполнения служба также регулярно проверяет и загружает любые доступные обновления базы данных из Ведро облачного хранилища.

Следующие рекомендации помогут вам разработать архитектуру, соответствующую вашим Требования организации к надежности, стоимости и операционной эффективности.

Надежность

Для эффективного сканирования сканер вредоносных программ ClamAV должен поддерживать актуальная база сигнатур вредоносных программ. Служба ClamAV запускается с использованием Cloud Run — служба без сохранения состояния. При запуске экземпляр службы, ClamAV должен всегда загружать последнюю полную вредоносную программу базу данных размером в несколько сотен мегабайт.

Общедоступная база данных вредоносных программ для ClamAV размещена в системе распространения контента Сеть (CDN), скорость которой ограничивает эти загрузки. Если запущено несколько экземпляров и попытаться загрузить полную базу данных, может сработать ограничение скорости. Этот блокирует внешний IP-адрес, используемый Cloud Run на 24 часа. Это предотвращает запуск службы ClamAV, а также предотвращение загрузки обновлений баз вредоносных программ.

Кроме того, Cloud Run использует общий пул внешних IP-адресов. Как В результате видны загрузки из экземпляров сканирования вредоносных программ разных проектов. через CDN как исходящий с одного адреса, а также инициировать блокировку.

Оптимизация затрат

В этой архитектуре используются следующие оплачиваемые компоненты Google Cloud:

• Cloud Storage
• Облачный бег
• Эвентарк

Чтобы рассчитать стоимость на основе прогнозируемого использования, используйте калькулятор цен.