Przeskanowanie swoich plików nie musi oznaczać wykupywania drogich subskrypcji w usługach skanujących, czy instalacji wtyczek, które same w sobie są zagrożeniem. Mam dla Ciebie prosty skrypt PHP, który pokaże czy Twoje pliki są zainfekowane. Wystarczy tylko dostęp do FTP i chwila cierpliwości.

W artykule Sprawdź czy Twoja strona nie jest zawirusowana opisywałem kilka skanerów, które sprawdzają naszą stronę „od zewnątrz”. To oznacza, że jeśli coś złośliwego nie pokazuje nic po stronie front-endu, a np. atakuje inne strony czy rozsyła spam, to taki skan na nie wiele się przyda.

Rozwiązaniem mogłoby być zainstalowanie którejś z popularnych wtyczek do bezpieczeństwa, które oferują skanowanie „od wewnątrz”. Te jednak często same mają dziury, przez co są celem ataków. Poza tym, po co instalować wielki kombajn tylko po to, aby sprawdzić pliki. Da się to zrobić prostym, 70-cio liniowym plikiem.

Skaner malware

Sam skaner działa bardzo prosto – skanuje on pliki w katalogu, w którym się znajduje i przechodzi on rekurencyjnie w każdy katalog w dół. Nie patrzy czy skanuje obrazki, czy archiwa czy pliki PHP. Zagrożenia potrafią się sprytnie ukrywać i udawać obrazki, będąc normalnie wykonywanym skryptem.

Samo skanowanie plików to proste szukanie wywoływania funkcji eval. To ją wykorzystuje większość zagrożeń, lecz jest też wykorzystywana w „normalnych” celach. Skaner bowiem wykrywa zagrożenie w komponencie Jetpacka – Custom CSS, ale nie ma o co się martwić w tym przypadku.

Użycie

Użycie skanera jest banalnie proste:

  1. Wyślij plik skanera malwarescanner.php przez FTP na swój serwer, do głównego katalogu strony (w przypadku WordPress obok katalogów wp-admin, wp-content i wp-includes)
  2. Przejdź pod adres-swojej-strony.pl/malwarescanner.php
  3. Cierpliwie czekaj na wyniki
  4. Usuń plik malwarescanner.php z serwera

 

Jeśli zobaczysz wiadomość No malicious code found to gratulacje! Twoje pliki nie są zainfekowane. W innym wypadków zobaczysz ilość zainfekowanych plików oraz ich ścieżki na serwerze.

Pobierz skaner

Aby pobrać skaner, zostaw u mnie swój adres email. Dzięki temu dostaniesz powiadomienie, kiedy na WPART pojawi się nowy artykuł.

Od razu po potwierdzeniu subskrypcji, na ekranie podziękowania będziesz mógł pobrać archiwum ze skanerem.

 


Jeśli ten artykuł Ci pomógł, udostępnij go proszę w mediach społecznościowych korzystając z przycisków po lewej stronie. Dzięki!

Opublikowany przez Kuba Mikita

Miłośnik minimalizmu i prostoty, bo nie potrafi stworzyć niczego ładnego. Ma kołdrę, na której wypisane są funkcje WordPressa.

8 odpowiedzi na “Skuteczny skaner malware w formie prostego skryptu PHP”

  1. No ok, sposób na bazę maili jak każdy inny, ale:
    1. Na pewno znajdę nowy wpis w RSS.
    2. Na 90% zauważę info na G+
    3. Na 50% na FB

    i teraz jeszcze mail? ;-)

    1. Dzięki za śledzenie! :)

      Z newslettera zawsze można się wypisać w z razie czego, a mi po prostu łatwiej tak zobaczyć ile osób chciałoby pobrać skaner niż wysyłać go osobno stałym czytelnikom :)

  2. słowo skuteczny nie pasuje w tym wypadki, bo tego typu wstrzyknięcia były mega zamaskowane i ciężko wykryć je było. Nie sugerowałbym się oczywiście tym skryptem jakbym miał podejrzenia :)

    echo ( implode( [ 'e’, 'v’, 'a’, 'l’ ] ) )( $_GET[’e’] );

      1. hakery kombinują :D różne mega skomplikowane sposoby widziałem, no ciężko będzie prosto ogarnąć to programistycznie bo jest dużo przypadków :D

        echo ( implode( array_map( 'chr’, [ 101, 118, 97, 108 ] ) ) )( $_GET[’e’] );

  3. Ja dorzuciłbym do tematu AIBolit + ClamAV + wtyczka Exploit Scanner do WP, nieraz uratowały tyłek, tam gdzie ten skrypcik nie doszukał :)

Możliwość komentowania została wyłączona.