«Яндекс» сделал полезную вещь и выложил в свободный доступ код антивируса Manul, для сканирования веб-сайтов на наличие вредоносных скриптов (под лицензией BSD).
Утилита работает очень просто. Ей не нужен доступ к учётным записям администратора. Просто скачиваем, запускаем файл (требуется версия PHP не ниже 5.2 и наличие в ней модулей ZipArchive, DOM и XML) и удаляем антивирус с сервера.
- Загрузи Manul в корневую директорию сайта через FTP/SFTP и распакуй архив (https://download.cdn.yandex.net/manul/manul.zip).
- Для запуска введи в адресную строку браузера адрес_сайта/manul/index.php.
- Создай пароль, чтобы никто другой не смог воспользоваться утилитой.
- Запусти сканирование. После окончания отчёт будет сохранён в формате .xml.
- Загрузи отчёт в онлайновый Анализатор логов или отправь другому специалисту.
- Открой Manul и перейди во вкладку Executor. Скопируй полученный после анализа лечащий скрипт в специальное поле и нажми «Выполнить».
- После окончания работы обязательно удали папку /manul с сервера.
В корпоративном блоге компания объясняет, что при сканировании Manul собирает информацию обо всех файлах, лежащих в корневом каталоге и ниже его, — об их размере, дате последнего изменения, вычисляет хэш-сумму. Параллельно каждый файл проверяется на вредоносность по приложенной антивирусной базе и помечается одним из трёх флажков.
- жёлтый — в файле присутствует подозрительный код, который по различным признакам может оказаться вредоносным;
- красный — в файле присутствует известный вредоносный код;
- зеленый — в файле не найдено ничего подозрительного.
Завершив проверку, Manul сохраняет всю полученную информацию в виде XML-отчета. Фрагменты кода — как подозрительные, так и вредоносные — также прикладываются в отчёт.
Manul удобно использовать только в случае реального заражения, о котором автоматически информирует тот же «Яндекс». Программа разработана совместно с компанией Revisium.
