Многие системные администраторы считают установку антивирусных программ на сервер с GNU/Linux потерей ресурсов, поскольку никакие вирусы сами по себе не могут атаковать операционную систему GNU/Linux. Но любой администратор GNU/Linux, использующий SAMBA для предоставления доступа к файлам Windows, определенно должен обеспечить установку антивирусного сканера, подобного ClamAV, чтобы зараженные файлы не распространились по всей системе.

• ClamAV Свободный Антивирус Clam AntiVirus
• Антивирус BitDefender
• chkrootkit сканер безопасности
• Для VPS рекомендуем использовать Linux Malware Detect (LMD) Maldet

Есть много сервисов, которые умеют проверять на вирусы отдельные страницы или весь сайт целиком. Принцип действия у них одинаковый — вводим URL и смотрим результат. В большинстве случаев сканеры показывают источник проблемы или страницы, которые затронули последствия внедрения вредоносного кода.

Плюс сервисов в том, что они эмулируют проверки из-под разных устройств. Скрытая реклама может показываться только на Android или iPhone. Если хакер хочет получать выгоду как можно дольше, он тщательно скрывает взлом. Часто бывает так, что владелец сайта получает предупреждение о взломе от поисковых систем и долго не может найти источник проблемы.

Лучше использовать несколько онлайн-сканеров одновременно. У них разные алгоритмы и базы для проверки. Так вы получите максимально информативную статистику.

• Антивирусный сканер Jotti - при проверке использует: AntiVir, Avast, AVG Antivirus, BitDefender, ClamAV, Dr.Web, F-Prot Antivirus, Fortinet, Kaspersky Anti-Virus, mks_vir, NOD32, Norman Virus Control.
• Virustotal - при проверке использует: ClamAV (ClamWin), Computer Associates (Iris, Vet), Doctor Web Ltd. (DrWeb), Eset Software (NOD32), Fortinet (Fortinet), FRISK Software (F-Prot), Grisoft (AVG), H+BEDV (AntiVir), Ikarus Software (Ikarus), Kaspersky Lab (AVP), Norman (Norman Antivirus), Panda Software (Panda Platinum), Softwin (BitDefender), Sybari (Antigen), Symantec (Norton Antivirus). Virustotal проверяет сайт на наличие в блэклистах популярных антивирусов и другие проблемы.
• VirSCAN разрешены файлы для проверки размером не более 20 мб
• Sitecheck Sucuri использует в работе не только чёрные списки и спам базы. Он выполняет более системную проверку на: вредоносный код; инъекции; внутренние ошибки сервера; актуальность версии CMS.
• Scanner.Prisk
• Norton Safe Web – сканер сайта от Norton.
• WordPress Security Scan — проверяет основные уязвимости Вордпресс сайтов. Более глубокий анализ доступен по платной подписке.
• WebSicherheit – сканирует сайт на наличие вредоносного ПО, вирусов, внедренных скриптов и так далее.
• Pentest-Tools – еще один хороший сервис для проверки сайта на наличие заражения. В бесплатной версии доступен общий анализ сайта.
• Обнаружение и защита от DDoS-атак

Можно проверить чёрные списки поисковых систем напрямую:

• Для проверки в Яндексе используйте конструкцию yandex.ru/safety/?url=domain.ru
• В Google — transparencyreport.google.com/safe-browsing/search?url=domain.ru. Если после обновления данных показывается зелёная галочка, значит всё в порядке.

Сканер AI-Bolit один из самым эффективным инструментом веб-мастеров и администраторов сайтов для поиска вирусов и вредоносного кода на ваших сайтах, проверено на хостинге TimeWeb.

Сканер AI-Bolit запускать лучше в режиме командной строки, это можно делать как локально на компьютере под Windows/Linux/MacOS X, так и непосредственно на хостинге, если у вас есть доступ по SSH и хостинг не сильно ограничивает потребляемые ресурсы процессора.

$ php -v
PHP 7.1.33 (cli) (built: Apr 16 2014 07:06:24) ( NTS )

• Подключитесь к серверу по SSH.
• Перейдите в директорию, которую требуется проверить. Если вы хотите просканировать все файлы на аккаунте (рекомендуемый вариант), скрипт нужно установить в корневую директорию аккаунта. Сразу после подключения по SSH на виртуальном хостинге вы находитесь именно в ней.
• Установка скрипта AI-Bolit

$ wget https://github.com/KashifHK123/AI-Bolit/raw/master/ai-bolit/AIBOLIT-WHITELIST.db && wget https://github.com/KashifHK123/AI-Bolit/raw/master/ai-bolit/ai-bolit.php

Показать помощь

php ai-bolit.php --help

Запуск

php ai-bolit.php  --path=/home/killapod/ --report=/home/killapod/public_html/report_2.html

Установить максимальный размер проверяемого файла 900Kb

php ai-bolit.php --size=900K

Когда вы закончите работу с AI-Bolit, все созданные им файлы и каталоги (скрипт ai-bolit-hoster.php и каталог aiboltmp) будет нужно удалить.

• Запустим проверку только определенного сайта, для этого нужно указать полный пусть к каталогу с файлами сайта. В моем примере файлы сайта находятся в директории /home/s/user/site.com

  php ai-bolit-hoster.php --path=/home/s/user/site.com

• Когда процесс завершится, выполните следующую команду, чтобы задать файлу отчета более удобное имя:

  mv AI-* aireport.html

Готовый отчет с именем aireport.html будет доступен в той же директории, где расположен скрипт ai-bolit-hoster.php.

Если нет SSH-доступа к виртуальной машине, и хостер не предоставляет доступ к антивирусу из панели управления, то можно самостоятельно установить phpMussel. Это антивирус, использующий базу сигнатур ClamAV и нацеленный на работу в среде виртуального хостинга. Поскольку phpMussel представляет из себя PHP-скрипт, то его очень просто развернуть.

В базовом варианте установка phpMussel осуществляется при помощи менеджера зависимостей в PHP - Composer, но значительно проще воспользоваться готовой сборкой phpMussel/Examples. Это готовый zip-архив, который нужно распаковать в каталог вашего виртуального сервера, обычно, /public_html/.

Запустив скрипт example-frontend.php, можно настроить и протестировать phpMussel. Такое решение можно рекомендовать, если ваш сайт позволяет загружать пользователям файлы на сервер, и стоит задача проверить эти файлы на вирус. В противном случае проще воспользоваться внешним сервисом для проверки сайта.

Недостатком внешних сервисов является то, что они не имеют полного доступа ко всем файлам вашего сервера, а также они не проверяют исходный код сайта. Однако у внешнего сервиса есть огромное преимущество: его не нужно устанавливать, и такой сервис готов к проверке вашего сайта моментально.

Lynis - популярный сканер уязвимостей FreeBSD, Linux, macOS. Стоит отметить, что Lynis не проводит автоматическое усиление защиты системы, а лишь даёт рекомендации о том, как следует её защитить.

Самое первое, что делает Lynis при инициализации, — выясняет полную информацию об операционной системе, работающей на компьютере. Затем утилита проверяет, какие системные инструменты и плагины у вас установлены. Он сканирует систему на наличие вирусов, вредоносных программ и уязвимостей безопасности. Он способен выявлять не только вредоносное ПО, но и повреждения файлов и ошибки в конфигурации.

Lynis можно установить из репозиториев вашей ОС. Или скачать последнюю версию с официального сайта. Узнаем версию Lynis :

lynis show version

Чтобы получить полный список команд Lynis, введите:

$ ./lynis show commands
 
Commands:
lynis audit
lynis configure
lynis generate
lynis show
lynis update
lynis upload-only

Запускаем аудит Linux-системы. Всё начинается со следующей команды:

$ ./lynis audit system

После запуска команды мы получим детальный отчёт. Не пугайтесь, мы в нём разберёмся чуть позже. Прочие результаты работы команд тоже сохраняются, так что и к ним вы можете вернуться позже.

Вот здесь Lynis хранит логи:

Files:
- Test and debug information      : /var/log/lynis.log
- Report data                     : /var/log/lynis-report.dat

Подробнее о работе со сканером в этой статье.