Detekce malware

Pokud chcete prověřit svou prezentaci, jestli neobsahuje škodlivý kód nebo přímo detekovat malware při napadení účtu, stačí si stáhnout následující soubor.

Soubor ke stažení zde.

1) Tento soubor malware.php rozbalte a vložte jej nejlépe do kořenového adresáře účtu nebo pokud chcete zkontrolovat jen určitou prezentaci, tak do složky, kam vám směřuje doména.

2) Poté stačí již zavolat tento soubor přes adresní řádek:

nazevdomeny.cz/malware.php

Tento skript načte adresáře a podadresáře, které vyhovují určitým podmínkám ( ve skriptu je nadefinovám seznam přípon souborů, které má ignorovat - rar, zip, mp3, mp4, mov, flv, wmv, swf, png, gif, jpg, bmp a avi). Tento seznam poté skript projde a hledá regulérní výrazy eval nebo eval (base64). Funkce eval spouští PHP skripty, které se v ní nachází. Obyčejně se doporučuje tuto funkci nepoužívat, takže jí v šablonách nenaleznete. Nejčastěji se používá pro skrytí nebezpečného kódu kódování Base 64, které převádí binární data na znaky. Většina nebezpečného kódu, se kterým se setkáte, bude právě kódována Base 64. Některé šablony mají již v sobě od autorů ukrytý svůj podpis právě kódováním Base 64, např. ve footeru či headeru. Snadno jej rozpoznáte od nebezpečného kódu např. použitím online nástroje decode base 64.
3) Po ukončení chodu skriptu se následně přímo v prohlížeči zobrazí soubory, které je nutné prověřit. Celá detekce se také loguje do souboru malware.log, který naleznete po detekci ve stejné složce.

Veškeré detekované scripty jsou pouze podezřelé (tedy může se jednat o napadené scripty ale může se jednat i o scripty žádoucí, které náleží prezentaci).

Bohužel script nikdy nedokáže detekovat 100% všech škodlivých nebo infikovaných scriptů. Tedy pouhé odstranění prezentovaných scriptů není dostatečné ani úplné řešení !! Vždy je třeba prezentaci ještě ručně projít a zkontrolovat zda prezentace skutečně neobsahuje další škodlivé scripty.

Pokud máte prezentaci napadenou a je již pracovníky Savana.cz odpojená, je třeba ke spuštění scriptu jiné domény (nebo subdomény). V našem příkladu využíváme systémové subdomény název_účtu.savana-hosting.cz (které můžete Vy samozřejmě také využít). V administraci hostingového účtu v sekci “DOMÉNY - NASTAVENÍ” si zvolte tuto systémovou subdoménu a označte záložku “Přidat subdoménu”.

V rámci formuláře pro vytvoření subdomény si vepište do první kolonky název subdomény (v našem příkladu malware) a do kolonky adresáře, vepište adresář který náleží Vaší napadené prezentaci (v které máte umístěn script malware.php).

Díky tomuto nastavení již můžete skrze tuto subdoménu spustit soubor malware.php který náleží Vaší prezentaci. A to vložením URL adresy do internetového prohlížeče ve formátu malware.název_účtu.savana-hosting.cz/malware.php.

English Česky Dutch