VPS сервер заражен. Пять шагов, которые помогут избавиться от вируса.

Virus delete

Корень зол, из-за которых появляются вирусы, надоедливая реклама, зараженные файлы – желание обогатиться за чужой счет. Если вы узнали, что по хостингу или vps уже разгуливает вирус, скорее всего, защита веб сервера не установлена, а значит справиться со злоумышленниками в разы сложнее.

Что же делать, если ваш сайт заражен?

Вредоносные сигнатуры, которые следует искать, могут представлять собой вставку в код страницы шифрованный код. Таким образом, при отсутствии антивируса на сервере или его устаревшей версии, определить такой элемент будет проблематично.
И так, у вас есть зараженный виртуальный сервер.

  • Серверный антивирус необходимо обновить до последней версии, а возможно и вовсе переустановить. Это и будет первым шагом.
  • Шаг второй — замена доступов на сервере. Сменяя все пароли и ssh-ключи (если таковые имеются), вы снижаете вероятность повторения ситуации заражения вирусом. После завершения процедуры, доверяйте новый доступ только проверенным специалистам и берегите так же, как ключ от своего дома.
  • Обезопасить себя и обеспечить полную защиту сервера получится только предприняв все необходимые меры. А это значит, что следующий, третий, этап защиты веб сервера – проверка сайта, выявление всех зараженных файлов ПО, а также удаление вирусов.
  • Четвертым шагом на пути к защите сервера от взлома будет обновление плагинов, шаблонов, модулей, CMS на ваших сайтах.
  • На заключительном пятом этапе, ukrhost всегда рекомендует проверить список запущенных процессов, подключившись через SSH и выполнив команду pstree.
    pstree
    В данном примере видно, что процесс «ps» запущен из под имени «ps», а оригинальный запускается из под bash. Делаем вывод, что это вирус.Уделяйте отдельное внимание исходящим соединениям, проверить которые можно командой lsof -i, а также директориям, где запущены процессы.
    lsof -i
    Как видно из этого скриншота, то обнаруженный нами процесс генерирует странные исходящие соединения. Нужно определить директорию из которой он запущен и удалить его.
    lsof -p 13966
    Запускаем:

    lsof -p ID     // где Id - это pid процесса

    Обращаем внимание на строки со значениями cwd и txt в колонке FD, там и будет указана директория запуска этой заразы.

Не забывайте проводить анализ данных или систематически повышать уровень безопасности на вашем виртуальном сервере.