Imunify360 — это антивирус и файрвол для серверов с операционной системой Linux. Мы используем его у себя на виртуальном хостинге для проверки файлов и очистки их от вредоносного кода. В этой статье расскажем, как работать с приложением антивируса в панели управления хостингом cPanel.
Находится приложение в разделе «Безопасность» на главной странице панели. Если вы покупали хостинг не у нас, но в вашей cPanel тоже есть это приложение, его функционал может отличаться. Каждый провайдер сам настраивает работу сервиса и выбирает, какие функции будут доступны клиентам.
Содержание
- Принцип работы Imunify360
- Как очистить инфицированные файлы
- Как восстановить исходные версии файлов
- Как добавить файлы в список исключений
- Как включить автоматическую очистку файлов
- Как запустить сканирование вручную
- Как посмотреть историю сканирований
- Как разрешить заблокированные файрволом действия
- Как отключить файрвол
Принцип работы Imunify360
Антивирус Imunify360 сканирует файлы в режиме реального времени при загрузке их на сервер или любой модификации. Если в результате сканирования антивирус найдёт в файлах вредоносный код, он отобразит эти файлы в разделе «Сканер вредоносных программ» внутри приложения Imunify360 в cPanel, где их можно будет вылечить.
Кроме того, если антивирус найдёт у вас в аккаунте вредоносные файлы, на указанную в настройках cPanel электронную почту придёт письмо с просьбой очистить файлы или добавить их в список исключений. Письмо будет приходить каждый день, пока вы не решите проблему.
Файрвол Imunify360 защищает ваш аккаунт от попыток выполнить вредоносный код. Даже если злоумышленнику удастся добавить в файл посторонний код и антивирус распознает этот файл как инфицированный, файрвол будет блокировать любые попытки обратить к такому файлу.
Блокироваться будут не только действия в отношении инфицированных файлов, но и действия, которые нарушают политику нашего файрвола ModSecurity. Поэтому в этом разделе могут быть записи касательно файлов, которые Imunify360 не отметил как инфицированные.
Запись о каждом заблокированном действии появится в разделе «Упреждающая защита» внутри приложения Imunify360 в cPanel, где файрвол можно будет отключить, либо сделать так, чтобы описанные там действия больше не блокировались.
Как очистить инфицированные файлы
Нажмите для этого кнопку «Очистить все» справа над таблицей на главной странице приложения Imunify360.
Очистится при этом только вредоносный код, остальные данные не пострадают. Если только злоумышленник не очистил их перед внедрением своего кода.
После нажатия кнопки вы увидите уведомление, что в течение двух недель с момента очистки в карантине будут храниться копии оригинальных файлов на случай, если понадобится вернуть всё в исходное состояние. Нажмите «Да, очистить».
Очистка произойдёт в реальном времени. Вы увидите, как у заражённых файлов в таблице изменится значение в колонке «Статус».
Статус «Вылеченные» означает, что после удаления вредоносного кода внутри файла ещё осталось содержимое.
Статус «Содержимое удалено» означает, что кроме вредоносного кода внутри файла ничего не было. Такое может быть, если перед внедрением кода злоумышленник специально зачистил файл.
После очистки проверьте работоспособность сайта. Если всё работает, поздравляем — вы в безопасности. Если что-то сломалось, значит после очистки вредоносного кода исходное содержимое какого-то файла оказалось повреждено. В этом случае у вас есть возможность восстановить исходные версии файлов.
Как восстановить исходные версии файлов
При помощи колонки «Обнаруженные» выберите в таблице все файлы, исходные версии которых нужно восстановить, затем над таблицей справа нажмите зелёную ссылку с текстом «Восстановить начальную версию файлов».
Вы также можете восстанавливать файлы по отдельности и каждый раз проверять, начал ли сайт снова работать. Для этого в строке с нужным файлом нажмите на иконку с часами в колонке «Действия».
Восстановить исходную версию файлов можно в течение 14 дней с момента очистки. После этого они удалятся из карантина. Чтобы проверить, сколько дней файл ещё будет храниться в карантине, кликните по нему в таблице. После этого раскроется детальная информация о файле, где и будет указано оставшееся время.
После восстановления исходных версий файлов, антивирус снова может пометить их как заражённые. С заражёнными файлами обязательно нужно что-то сделать, иначе ваш сайт может быть в опасности, да и наша система продолжит отправлять уведомления с требованием предпринять меры.
Решением будет залить более раннюю версию заражённого файла, в которой ещё нет постороннего кода. Вы можете сделать это из бэкапа, который создаётся для вашего сайта автоматически и хранится в приложении JetBackup в панели управления хостингом.
Инструкция по работе с приложением JetBackup
Если перезалить файл из бэкапа не помогло, значит там тоже заражённые файлы. В этом случае у вас есть два варианта действий:
- Перезалить файл из официального источника или копии на локальном компьютере, если она у вас есть.
- Добавить файл в список исключений, если вы точно уверены, что он не инфицирован.
Если нет возможности перезалить файл, придётся либо обратиться к разработчику, чтобы оценил ситуацию и помог её исправить, либо добавлять файл в список исключений на свой страх и риск.
Как добавить файлы в список исключений
На главной странице антивируса перейдите в раздел «Список игнорируемых элементов» под заголовком «Сканер вредоносных программ». Затем над таблицей справа нажмите кнопку «Добавить новый файл или каталог» и укажите путь к файлу или каталогу.
После этого файл появится в таблице. Если нужно, его всегда можно удалить из списка игнорируемых при помощи опции в колонке «Действия».
Как включить автоматическую очистку файлов
Для этого перейдите в настройки антивируса в правом верхнем углу экрана и в строке «Действие по умолчанию при обнаружении» выберите вариант «Очистка». После этого не забудьте сохранить изменения.
Как и в случае с ручной очисткой, после автоматической очистки будут создаваться копии исходных файлов, которые можно будет восстановить в течение 14 дней.
Как запустить сканирование вручную
На главной странице антивируса нажмите кнопку «Начать сканирование» в правой части экрана над таблицей.
Затем подтвердите действие во всплывающем окне, нажав «Да, начать сканирование».
Сканирование произойдёт в фоновом режиме. Если спустя некоторое время в таблице не появилось новых заражённых файлов, значит все файлы в порядке.
Как посмотреть историю сканирований
На главной странице антивируса перейдите в раздел «История» под заголовком «Сканер вредоносных программ». В этот раздел будут записываться все действия, которые когда-либо совершались в антивирусе: результаты сканирования, очистки и восстановления файлов, а также их добавления/удаления в список игнорируемых.
Как добавить заблокированное файрволом действие в список исключений
В разделе «Упреждающая защита» в строке с нужным действием нажмите на значок шестерёнки. Появится всплывающее окно, в котором вы можете выбрать одно из двух: «Игнорировать обнаруженное правило для файла» или «Игнорировать все правила для файла».
Игнорируйте правила, только если на 100% уверены в своих действиях, потому что из-за этого может пострадать ваш сайт. В зависимости от ситуации злоумышленник сможет либо использовать уязвимость в инфицированном файле, либо обойти наш основной файрвол ModSecurity.
Если действие блокируется по отношению к заражённому файлу, попробуйте его вылечить или перезалить. Если же по отношению к ModSecurity — напишите нам в поддержку, чтобы мы взглянули на ситуацию и помогли разобраться.
Как отключить файрвол
В блоке «Настройки режима» под заголовком «Упреждающая защита» есть опция, которая отключит файрвол Imunify360.
Отключайте этот файрвол, только если на 100% уверены в своих действиях, потому что так ваш сайт окажется без одного из уровней защиты, из-за чего может пострадать.