• Главная

Почему так важно изначально выбрать хостинг с защитой от вирусов? Хостинг с антивирусом


Антивирус Virusdie (Вирусдай) | REG.RU

Антивирус Virusdie (вирусдай) позволяет найти подозрения, возможные заражения в файлах вашего веб-сайта и устранить их в автоматическом режиме, не требует установки и настройки. Антивирус позволяет обнаруживать и устранять шеллы, бэкдоры, трояны, редиректы и вредоносные коды в PHP, HTML, JS, файлах изображений и системных файлах.

Virusdie не просто удаляет определенные файлы или помещает их в карантин, а «лечит» их, удаляя фрагменты кода и в случае необходимости дописывая недостающие для сохранения работоспособности вашего веб-сайта фрагменты.

Лечение сайта происходит в рамках платной услуги. Просканировать сайт вы можете абсолютно бесплатно. Virusdie не заменяет стандартную антивирусную проверку Linux Malware Detect, а дополняет её. Т.е. происходит двойная антивирусная проверка.

Обратите внимание

Virusdie лечит только те файлы, которые сам обнаружил. Файлы, найденные антивирусом Maldet, вылечены не будут.

Некоторые файлы Virusdie не может вылечить в автоматическом режиме. Такие файлы являются вредоносными по мнению Virusdie и требуют ручной проверки разработчиками сайта.

Перед лечением Virusdie создаёт актуальные бекапы файлов, которые будут подвержены лечению. Бэкап файлов записывается в менеджер файлов вашего хостинга. Если лечение Virusdie вам не понравится, вы сможете восстановить данные из бэкапа.

Как проверить аккаунт на вирусы и вылечить зараженные файлы?

2кликните на названии услуги хостинга, которую необходимо проверить на вирусы;

3

в разделе «Управление услугой» кликните Антивирусная проверка: антивирусная проверка virusdie

для проверки хостинга на вирусы нажмите Запустить: запустить проверку virusdie

обратите внимание: вы можете запустить проверку не более 2 раз в день. Здесь же вы можете увидеть результат ранее запущенных проверок;

4

после окончания проверки на ваш контактный e-mail хостинга придёт сообщение с результатами проверки: результат проверки virusdie

5

вы сразу можете перейти к лечению файлов, для этого нажмите Вылечить файлы: вылечить файлы virusdie

или вы можете запустить лечение со страницы антивирусной проверки:

после этого выберите тип услуги: разовое лечение или помесячная подписка:

6оплатите выставленный счёт любым удобным для вас способом. После оплаты счёта вы сможете завершить лечение вашего сайта.

Отключение подписки Virusdie

Отключение подписки происходит в личном кабинете на странице управления услугой. Чтобы удалить услугу в блоке Управление услугой нажмите Удалить услугу.

При удалении услуги возврата средств за неиспользованный период времени не происходит.

www.reg.ru

Хостинг с защитой от вирусов

Веб-сайты подвергаются атакам вирусов и становятся угрозой для потенциальных посетителей. Современные вирусы, завладевая вашим ресурсом, переделывают его под себя: меняют ссылки на свои, «выпячивают» баннеры с агрессивной рекламой на передний план и внедряют вредоносный код в браузер вашего посетителя. Приходится с бешеными глазами узнавать, как удалить троян с вашего хостинга и прекратить раз и навсегда эти атаки.

Правильный подход

Самое неприятное, что удалив проблему один раз, она вновь встанет перед вами через короткое время. Поэтому так важно сосредоточить усилия на том, чтобы избежать проникновения в хостинг вирусов и защитить от них свой веб-ресурс.

Со временем стало появляться больше хостингов, предоставляющих дополнительные услуги в стандартном комплекте за те же деньги – защита от DDOS атак. Это нападение, в результате которого даже неопытный программист может «обрушить» ваш сайт, вы даже можете потерять к нему доступ.

Уникальный подход к своей работе

Хостинг хостингу рознь, предлагаем в этом убедиться.

1.             Есть хостинги, которые обеспечивают минимальную защиту, некоторые же предлагают целый спектр тарифов защиты. Лучше выбрать один раз правильно хостинг, чем потом переезжать вместе со всем сайтом на другой (если, конечно, от веб-ресурса что-то останется).

2.             Заметим, что существуют и такие профессионалы на рынке хостингов, оказывающие помощь пострадавшим от хакерского удара сайтам.

3.             Есть на рынке и такие индивидуалы, которые предложили своим клиентам более совершенную защиту. Со времён появления DDOS-атак появилось понятие и «массовой защиты», которая не даёт 100-го результата. Некоторые хостеры даже разработали собственный комплекс мер по защите с 9-ти ступенчатой защитой. Благодаря ему сайт под защитой от всевозможных вирусов и неприятностей, которые доставит вам хакер. Он отфильтровывает DDOS-атаки и вирусы, которые проникают через FTP (в момент загрузки проекта сайта на хостинг, в файловый менеджер), блокируют вредоносный код.

4.             Существует и хостинг, который предоставляет индивидуальный подход к защите. До регистрации тех. поддержка определяет, каким атакам будет, скорее всего, подвергаться ресурс и наделяют его соответствующей защитой.

5.             Иногда важен не столько комплекс мер по защите и индивидуальный подход, сколько возможности тех. поддержки быстро удалить последствия нападения хакера.

Последствия атак

Владельцу сайта не хочется подвергнуться атаке. Но понимаем ли мы до конца последствия, которыми огорчит нас хакер, в случае неверного выбора провайдера?

1.             В выдаче поисковых систем наш сайт будет отображаться, как угроза компьютеру посетителя. Соответственно, на него не зайдут. Вы, как владелец, потеряете множество визитов за всё время, пока будет висеть такая надпись.

2.             Вирус перекинется на ваш браузер и будет работать на создателя. Исправлять на другие все ссылки на веб-странице, которые вы будете видеть перед собой, выдавать агрессивную рекламу в большом количестве. Даже если вы не будете на неё нажимать, она будет срабатывать (открывать сайты, на которые ссылается) при любом вашем активном действии. Даже если вы ничего не нажимаете, не пытаетесь перейти по внутренним ссылкам, а просто крутите колёсико мыши, откроется сторонний сайт.

3.             Вирус будет распространяться на других пользователей и на ваш компьютер. Он сможет передавать все ваши данные, файлы своему владельцу, это неприятно.

И всё же, устранить столь неприятные последствия возможно, вызвав специалистов. Например если вас интересует ремонт компьютеров в Москве (свао), то запускай.рф поможет вам в этом. Но лучше заранее перестраховываться и выбрать хорошего провайдера, надежного, опытного и доступного по цене.

Итак, почему так важно изначально выбрать хостинг с защитой от вирусов? Чтобы не расхлёбывать последствия нападений хакеров и вирусных программ, предотвратить установку вредоносного кода в виде приложения к вашему браузеру!

av-host.net

Нужен ли антивирус на хостинге

Каждый web-ресурс, вместе со всей информацией и контентом физически располагается на сервере или серверах (в случае с облачным хостингом), который и представляют собой хостинг. По сути, хостинг это такой же жесткий диск, как и на компьютерах, с той лишь разницей что объемы памяти таких дисков огромны. Из этой схожести возникает один очень не приятный момент – хостинг, как и обычный винчестер, может стать жертвой вирусной активности или хакерских проделок, что может привести не только к сбоям в работе сайта, но и потере информации, включая и конфиденциальной. Именно поэтому хостинг сайтов неразрывно связан с антивирусной защитой и всевозможным программным обеспечением для борьбы с хакерскими атаками.

Отвечая на вопрос, стоит ли устанавливать антивирусную программу на хостингах можно сразу сказать – стоит. Но здесь не все так просто, как могло показаться, и вот почему. Многие web-разработчики ищут дешевый хостинг и находят его в компаниях, предоставляющих коллективный хостинг. Это означает, что сайт разработчика будет находиться на одном сервере с множеством других сайтов, администраторы которых неизвестно как заботятся о безопасности своих ресурсов. И именно из сайтов-соседей часто приходят всевозможные вирусы, трояны, шпионы и т.д.

Коллективный хостинг в вопросах безопасности уступает выделенному серверу. И к тому же, зачастую такой хостинг для wordpress или хостинг для других CMS, подразумевает установку всего программного обеспечения специалистами компании-хостера. То есть, сам web-разработчик иногда даже не может поставить свою антивирусную программу, отдавая эти полномочия в руки компании. Справедливости ради следует отметить, что крупные компании, предоставляющие платный хостинг, заботятся о своей репутации и о своих клиентах, поэтому скрупулезно относятся к антивирусному программному обеспечению и следят за поддержанием высокого уровня безопасности всех сайтов и всей информации, хранящейся на серверах компании.

Совсем иначе дело обстоит с выделенным севером, где web-разработчик на свое усмотрение может устанавливать и менять операционные системы и программное обеспечение. В этом случае именно от действия web-мастера зависит и безопасность всего ресурса, а значит необходимо устанавливать антивирусные программы и дополнительные компоненты для дополнительной защиты. Сейчас существует довольно большое количество эффективных антивирусных программ, которые могут похвастаться высокой степенью защиты, поэтому можно пусть и не на 100%, но все же обеспечить свой web хостинг и всю информацию надежной защитой.

Некоторые компании, у которых можно коллективный хостинг купить, позволяют своим клиентам устанавливать антивирусные программы и компоненты. Более того, некоторые хостеры даже скажут спасибо за установленный эффективный антивирус, который поможет уберечь всю информацию, хранящуюся на сервере, от «вирусных проделок», тем более что на сервере может ютиться много сайтов и ресурсов.

Говоря об антивирусных программах, нельзя не сказать о необходимости комплексной защиты ресурса от взломов и вирусной активности. Да, хостинг для joomla и других CMS, вместе со всеми сайтами и ресурсами может быть взломан даже при наличии антивирусных программ. Причиной тому может быть неосторожность самого web-разработчика, который ненадежно хранил логины и пароли на админку или FTP-аккаунту или установил слишком простые пароли, что помогло недоброжелателям взломать ресурс при помощи программ для подбора паролей или же банальная кража паролей с браузера или программ, сохранивших логины и пароли. Также причиной взлома может быть старая версия CMS, которую необходимо регулярно обновлять. Проявляя осторожность и принимая все хотя бы основные меры безопасности можно максимально оградить свой сайт и всю информацию от взлома и вирусов.

автор: Иван Левченко

proweb.ua

Антивирус для сервера

Для автоматизированного сканирования и лечения клиентских сайтов на сервере разработана специальная версия антивируса «Revisium Antivirus для сервера».

Она отличается от бесплатной версии AI-BOLIT большей точностью и возможностью автоматизированного лечения сайтов.

Данная версия антивируса ориентирована на хостинг-компании, веб-студии и веб-разработчиков, агентства и частных веб-мастеров.

Возможности антивируса для сервера

Возможности

  • Обнаружение всех видов вредоносных скриптов в файлах: вирусные вставки, веб-шеллы, бэкдоры, фишинговые страницы, дорвеи, спам-скрипты и пр.
  • Автоматизированное лечение обнаруженных вредоносных скриптов: вставки аккуратно удаляются без повреждения работоспособности сайта, а вредоносные файлы удаляются или зануляются.
  • Регулярное обновление базы вредоносных скриптов, поддержка «вредоносов» , написанных на php, perl, python, javascript, html, а также shell скрипты и опасные конфигурации
  • Сохранение резервных копий измененных скриптов
  • Поиск публичных уязвимостей в скриптах php
  • Автоматизация для запуска из командной строки
  • Работа на любой *nix ОС с установленным php5.3 и выше (не требуется специальных модулей или особой конфигурации)
  • Готовые примеры использования сканера для всех базовых сценариев
  • Лечение сайтов на любых CMS и фреймворках, написанных на php
  • Отчеты в json, html и plain text форматах
  • Простая интеграция, отсутствие внешних зависимостей

Два варианта использования антивируса на сервере

Готовые решения

Вариант №1

Cерверный сканер AI-BOLIT + (опционально) лечащий модуль Procureor.

Это серверный вариант антивируса, который устанавливается и запускается непосредственно на серверах с сайтами, на этих же серверах выполняется сканирование и лечение сайтов.

Примеры работы с серверным сканером и ответы на часто-задаваемые вопросы можно найти в документе

AI-BOLIT Quick Start Guide.

Данная версия антивируса успешно интегрирована в панели хостингов Beget, FirstVDS, HostLand, FastVPS, Majordomo, NetAngels, Hostlife, Infobox и многих других.

Антивирус реализован в виде модуля для ISPmanager Lite версии 5.155 и более новых. Сайт ISPmanager.

Антивирус реализован в виде расширения для Plesk Onyx панели 17.x. Сайт Plesk Onyx.

Вариант №2

Облачный антивирус CloudScan.Pro с функцией сканирования, лечения, удобной веб-панелью и API для автоматизации.

Данная версия антивируса работает из облака: подключается к серверам по SSH или FTP и выполняет все операции по сканированию лечению в облаке, а затем выгружает только вылеченные (измененные) файлы.

Демонстрацию работы облачной версии антивируса через веб-панель можно посмотреть на сайте

https://cloudscan.pro

Наши партнеры, которые используют или рекомендуют антивирус

Хостинг-партнеры

А еще мы рекомендуем:

Проактивная защита Revisium LOR

Проактивная защита Revisium LOR — это набор скриптов, которые выполняют функцию Web Application Firewall и настраиваются на аккаунте любого виртуального хостинга или VPS. Они подключаются для сайта и обеспечивают надежную защиту от взлома, веб-атак, спам-ботов, а также снижают нагрузку на сервер. Подробнее...

revisium.com

Антивирус для сайтов и серверов Revisium CloudScan.Pro

Антивирус CloudScan.Pro является сервисом для автоматизированного и ручного лечения сайтов, написанных на PHP.

Сервис состоит из двух компонентов:
  1. сервера сканирования/лечения, который может быть размещен как на площадке хостинг-провайдера, так или в облачной инфраструктуре CloudScan.Pro;
  2. веб-панели, которая работает с сервером сканирования по REST API.

Для интеграции антивируса в панель мониторинга или хостинг-панель достаточно реализовать механизм отправки запросов антивирусному серверу в json-формате. Антивирус выгружает файлы для проверки на сервер сканирования, проводит проверку на наличие вредоносного кода, лечение файлов и формирует отчет.

Особенности антивируса

  • Сканирование и лечение по FTP, Web+FTP, SSH (SFTP) и локальных директорий сервера
  • Проверка архивов сайтов: автоматическая загрузка по sftp://, ftp://, http(s)://
  • Антивирус как облачный сервис или "коробочное решение"
  • Клиент-серверная архитектура: несколько веб-клиентов на один или несколько серверов
  • Настройка сервера из docker в течение 10 минут на ОС Ubuntu 16 и CentOS 6/7
  • Поддержка нескольких режимов и профилей сканирования
  • Сканирование и лечение сайтов (в т.ч. заблокированных) на серверах, виртуальных хостингах
  • Полнофункциональный REST API интерфейс для сканирования и лечения
  • Безопасность и изоляция антивируса внутри докер-контейнера
  • Многопользовательский режим работы
  • Фоновая обработка задач сканирования и лечения
  • Актуальная обновляемая антивирусная база вредоносных сигнатур

Стоимость аренды веб-панели антивируса: от 3000 руб / месяц.

Детали по требуемой конфигурации, скидках можно уточнить у менеджера.

Новинка! Антивирус для ISPmanager Lite

Антивирус для Plesk Onyx

cloudscan.pro

Лечение сайта от вирусов (Бесплатно).

Статья рассчитана на более менее продвинутого вебмастера или продвинутого пользователя. Здесь представлен общий алгоритм и личный опыт очистки.

Если у Вас возникнут какие-то дополнительные вопросы, пожалуйста, не стесняйтесь обратиться в нашу службу поддержки. Мы всегда рады Вам помочь!

  • Начинать очистку всегда нужно с компьютера администратора сайта, половина заражений происходят по причине кражи паролей (FTP или от панели управления сайтом). Лучше это делать не только тем антивирусом, который уже установлен на Вашем компьютере, но и каким-либо вторым, т.к. первый заведомо мог пропустить вирус.
  • Вторым шагом скачиваем все файлы сайта к себе на компьютер, обязательно сохраняем резервную копию и проверяем рабочую копию антивирусом. Если Вы являетесь пользователем хостинга WebGuard, лучше использовать для проверки наш антивирусный сканер, интегрированный в файловый менеджер панели управления хостингом. Он на порядок лучше определяют web-вирусы по сравнению с классическими антивирусами, и в большинстве случаев находит 100% вредоносного кода на сайтах. 
  • Если Ваш сайт раположен на другом хостинге, проверять будем загруженную Вами копию сайта. В этом случае рекомендуется использовать антивирус Avast или Nod32, т.к. DrWeb и антивирус Касперского довольно часто пропускают простые вставки сторонних скриптов. Стоит однако отметить, что проверка сайта настольными антивирусами поможет Вам только в простых случаях заражения. Если после такой очистки сайт заразят повторно, лучше использовать при следующей очистке антивирус WebGuard.
  • После проверки и получения списка заражённых файлов в отчёте приступаем к очистке: 
  1. В первую очередь проверяем нет ли в отчёте вирусов типа phpshell, webshell, hacktool, trojan и т.п. Это как правило php файлы, через которые взломщик получает полный доступ к файлам сайта. Чаще всего, их можно просто удалить.
  2. Далее нужно удалить вирусы, прикреплённые к основным файлам сайта. Это оставшиеся найденные антивирусом файлы. Для этого Вам потребуется любой текстовый редактор, который позволяет производить поиск и замену в файлах с использованием регулярных выражений. Мы используем PhpED. Можно скачать полнофункциональную ознакомительную 30-ти дневную версию на официальном сайте. Как правило, оставшиеся вирусы прикрепляются либо вначале файла, либо в конце. Часто заражают только файл index.php в корневой папке сайта. Тогда достаточно просто удалить код вируса из index.php и шаг 3 можно пропустить. Если же файлов много, переходим к следующему шагу. 
  3. Проанализируйте заражённые файлы. Вирусный код будет везде либо одинаковым, либо похожим.  Если код одинаковый, с помощью выбранного ранее редактора заменяем его на пустую строку во всех файлах сайта, потенциально подверженных заражению (*.php;*.php4;*.php5;*.inc;*.class;*.js;*.html;*.htm;*.css;*.htc;). Если строки вируса немного видоизменяются в файлах, но имеют общую структуру, нужно производить поиск по регулярным выражениям. Самый простой вариант, когда начало и конец строки с вирусом одинаковы. Тогда регулярное выражение примет вид:
  4. начало_вируса.*конец_вируса

    Лучше перед заменой произвести просто поиск и проверить, не попали ли в список найденных "здоровые" файлы. Если нет, производим замену.

  5. Конечно не исключено, что обычный антивирус не найдёт всех заражённых файлов. Для поиска не известных вирусов в своей работе мы используем собственный антивирусный сканер WebGuard (интегрированный в файловый менеджер нашей хостинг-панели) и ряд своих сигнатур основанных также на регулярных выражениях либо эвристическом анализе, но требующих дополнительного анализа при их использовании. Этот аспект мы рассмотрим в отдельной статье. Здесь можно можно привести пример пары наиболее безопасных выражений (пункты 5 и 6).
  6. На всякий случай ищем скрытые iframe:
  7. <\s*iframe[^<>]*src\s*=\s*('|"|)\s*http://[^<>]*(width|height)[^<>]*=('|"|)(1|0|2|3|4|5)('|"|)[^\d<>]*(width|height)[^<>]*=('|"|)(1|0|2|3|4|5)('|"|)[^\d<>]*>\s*<\s*/\s*iframe\s*>

    Анализируем найденное, и что не Вами добавлено, удаляем. Данную регулярку есть смысл поискать и в sql дампе базы данных.

  8. Используя мультистроковый поиск с использованием регулярных выражений проверяем .htaccess файлы:
  9. .*(HTTP_USER_AGENT|REFERER).*.*(Rewrite|Redirect).*http(|s)://

    Это позволит выявить нестандартные перенаправления на сторонние сайты, которые выполняются только при выполнении каких-либо условий. Например, перенаправляются только посетители, пришедшие на сайт из поисковых систем. Такое перенаправление владелец сайта может долго не замечать, т.к. он чаще набирает адрес своего сайта в адресной строке. 

  10. После проделанных операций рекомендуется полностью удалить на хостинге папку с заражённым сайтом и залить с Вашего компьютера его очищенную версию.

После очистки сайта конечно желательно проанализировать логи веб-сервера, чтобы разобраться в причине заражения. Но это не всегда представляется возможным. Нередко логи дня заражения уже удалены или сайт заразили, украв FTP пароли (тогда анализ логов ничего не даст). Также, обязательно нужно выполнить несколько основных пунктов, которые значительно снизят риск повторного заражения. Читайте статью: Лечение сайта от вирусов. Защита после очистки.

Если самостоятельное удаление вирусов не удалось либо нет желания разбираться в этом, к Вашим услугам очистка сайта от вирусов специалистами WegGuard.pro

На сайте есть также устаревшая версия этой статьи. Но на наш взгляд она более трудна для понимая, хоть и рассматривает некоторые аспекты более детально.

Еще записи по теме

webguard.pro

Linux Malware Detect — антивирус для веб-серверов / Хабр

Интернет уже не тот, что прежде — кругом враги. Тема обнаружения непосредственного заражения сайта и поиска вредоносных/зараженных скриптов на взломанном сайте рассмотрена слабо, попробуем это исправить. Итак, представляем вашему вниманию Linux Malware Detect.

Linux Malware Detect (LMD) — это сканер для Linux, предназначенный для поиска веб-шеллов, спам-ботов, троянов, злонамеренных скриптов и прочих типичных угроз характерных для веб-пространств и особенно актуален для виртуальных шаред-хостинг платформ. Главное отличие от прочих Linux-антивирусов — его веб направленность, сканирование файлов веб-сайтов, ведь обычные антивирусы ориентируются на более глобальные угрозы уровня системы.

Что умеет
  • Поиск угроз по базе MD5 и распознавание типа угрозы (например, php.cmdshell.nan.296.HEX) по HEX-базе.
  • Статистический анализ файлов на наличие обфусцированных зловредов и инъекций.
  • Обнаружение установленного в системе ClamAV для использования его в качестве сканера.
  • Ручное и автоматическое (по крону) обновление сигнатур.
  • Ручное и автоматическое обновление версии самого скрипта.
  • Возможность сканирования недавно добавленных/измененных файлов (например за последние 2 дня).
  • Опция загрузки обнаруженных потенциальных угроз на официальный сайт для анализа.
  • Система отчетов.
  • Очистка файлов от вредоносных инъекций.
  • Крон-заготовки для запуска регулярного сканирования юзерспейсов или других директорий.
  • Наборы исключений по расширениям, сигнатурам и путям.
  • Возможность отправки результатов сканирования на e-mail.
  • Мониторинг в реальном времени созданных/модифицированных/измененных файлов при помощи inotify_watch: мониторинг выбранных пользователей, каталогов или файлов.
  • … и прочее.
Как это работает
Сканирование происходит с использованием собственного скрипта на базе grep, а если в системе установлен ClamAV — то при помощи clamscan. Аналогично с сигнатурами: программа имеет свою базу сигнатур, если же в системе установлен ClamAV, то использует дополнительно и его базу.
Источники сигнатур:
  1. Срез данных сети. Разработчик LMD является администратором хостинга на 35.000 сайтов, данные ежедневно анализируется и обрабатываются. Основной источник сигнатур.
  2. Данные сообщества собранные с антималвар-сайтов.
  3. ClamAV, взаимообмен сигнатурами.
  4. Данные, присылаемые пользователями.

Сигнатуры обновляются практически ежедневно, RSS-лента с обновлениями сигнатур присутствует на официальном сайте.

Результаты сканирования сохраняются в файл, а также могут высылаться на указанный в конфиге e-mail. Интеграции с популярными панелями управления, увы, нет, если же вы хостер — сообщения клиентам придется рассылать вручную.

Интеграция с популярными панелями ISPmanager и Cpanel была бы неплохим вкладом в сообщество (это в случае если кто желает).

Что это дает
  • Позволяет следить за безопасностью ваших сайтов на VDS и DS.
  • Хостерам — ежедневное сканирование и рассылка предупреждений клиентам позволит повысить лояльность клиентов, которые, зачастую, очень далеки от знания кодинга и основ безопасности.
  • Если ваш сайт или сайт клиента будет взломан — вы узнаете об этом либо сразу (если включен мониторинг в реальном времени), либо в течении периода, выбранного для cron-сканирования. Ведь «предупрежден — значит вооружен»: зараженные сайты чаще всего становятся источниками рассылки спама со всеми вытекающими (например, блеклистинг IP в DNSBL).
Типичные примеры обнаружений
Отчет о сканировании выглядит следующим образом:malware detect scan report for servername: SCAN ID: 090913-1000.17637 TIME: Sep 9 16:04:40 +0300 PATH: /var/www RANGE: 2 days TOTAL FILES: 151224 TOTAL HITS: 5 TOTAL CLEANED: 0 {HEX}php.cmdshell.unclassed.344 : www/user1/data/www/example.com/wp-content/plugins/7ja1i/nxeogyqbd3h.php {HEX}php.cmdshell.cih.215 : /var/www/user1/data/www/example.com/xyiznwsk/info.php {CAV}PHP.Trojan.Spambot : www/user1/data/www/example.com/wwp-content/plugins/customize-admin/bannerTQIz.php {HEX}php.nested.base64.513 : /var/www/user1/data/www/example.com/engine/modules/topnews.php {HEX}base64.inject.unclassed.6 : /var/www/user1/data/www/example.com/wp-content/plugins/wpematico/app/settings_page.php {HEX}gzbase64.inject.unclassed.14 : /var/www/user1/data/director/example.com/wp-content/themes/zenith/404.php
Установка
Качаем:wget http://www.rfxn.com/downloads/maldetect-current.tar.gz Распаковываем:tar -zxvf maldetect-current.tar.gz Запускаем установку:sh ./install.sh

При запуске install.sh программа установки размещает файлы LMD в /usr/local/maldetect, заносит исполняемый скрипт в /usr/local/sbin и libinotifytools.so.0 в /usr/lib.

В процессе инсталляции автоматически создаются ежедневные крон-задания для обновления сигнатур и запуска сканирования. По умолчанию в конфигурации указаны типичные пути для сканирования вебспейсов популярных панелей управлений, таких как ensim, psa, DirectAdmin, cpanel, interworx и дефолтных apache-путей размещения сайтов (/var/www/html, /usr/local/apache/htdocs). Для ISPmanager путь /var/www/ придется добавлять вручную.

Настройка
Конфиг LMD находится в файле /usr/local/maldetect/conf.maldet. Конфиг хорошо документирован и позволяет настроить все, что душе угодно.
На заметку:
ionice -c 3 добавленный к строкам запуска скриптов по поиску и сканированию файлов поможет предотвратить нагрузку на дисковую подсистему выставив наинизший приоритет i/o.

В файле /usr/local/maldetect/maldet находим:

find="$find" меняем на:find="ionice -c 3 $find" находим:clamscan="$clamscan" меняем на:clamscan="ionice -c 3 $clamscan" Стоит отметить, что данное решение — своего рода «костыль», данную опцию стоит добавить в апстрим.
Типичные команды
Запускаем сканирование указанного каталога:# maldet -a /home/user1/exapmle.com

По окончанию получаем результат вида:

maldet(24128): {scan} scan completed on example.com: files 4, malware hits 0, cleaned hits 0 maldet(24128): {scan} scan report saved, to view run: maldet --report 091713-1715.24128

Смотрим отчет:

#maldet --report 091713-1715.24128

Принудительно обновляем базы с rfxn.com:

#maldet -u

Принудительно обновляем версию с rfxn.com:

#maldet -d

Сканируем все изменные за последние X дней файлы (в данном случае 2) в указанном каталоге

#maldet -r /home/user1/ 2

Отправляем неизвестную уязвимость на rfxn.com:

#maldet -c /home/user1/file.php

Помещаем в карантин результаты сканирования SCANID (id из результатов сканирования)

#maldet -q 091713-1715.24128

Пытамся очистить результаты сканирования

#maldet -n, --clean 091713-1715.24128

Программа распространяется по лицензии GNU GPLv2. Официальная страничка проекта: http://www.rfxn.com/projects/linux-malware-detect Linux Malware Detect.

Имею опыт использования и настройки, на все вопросы с удовольствием отвечу в комментариях.

habr.com