Готовясь к миграции серверов после заражения, мы хотим очистить наши данные и убедиться, что они не содержат вредоносных взломов или дыр в безопасности.
Чтобы вы поняли, что я имею в виду, вот список (пока) тестов, которые мы проведем:
1) Сравните каждый файл со списком вредоносных ключевых слов (eval, base64, iframe, viagra и т. Д.) 2) Просканируйте любой файл с более чем одной точкой (это было признаком взломанных файлов в прошлом) 3) Выявление любого файлы с чрезмерно длинными именами (еще один симптом)
Есть идеи, что я должен добавить в этот список?
Это своего рода предложение «после того, как лошадь убежала», но это отличная причина держать как можно больше ваших данных под контролем версий - это упрощает (а) идентификацию изменений и ( б) откатиться к заведомо хорошей точке.
Если вы регулярно выполняете резервное копирование данных (и если они не слишком большие), вы можете восстановить данные из «заведомо исправной» точки в прошлом, а затем сравнить их с вашими активными данными; если ваши резервные копии создаются относительно часто, а ваши законные изменения - нет, это хороший способ выяснить, какие файлы, если таковые имеются, были изменены в ходе заражения.
Если в вашей среде установлена Windows, я бы просканировал файлы с помощью бесплатной версии Защита от вредоносных программ Malwarebytes.
Я бы предложил запустить против него как Clamscan, так и Linux Malware Detect (LMD). Между ними вы должны поймать большую часть распространенного вредоносного кода.
Конечно, если ваш злоумышленник что-то закодировал, ничего, кроме ручного просмотра каждого файла, не поймает.