Imunify360 — це антивірус та файрвол для серверів з операційною системою Linux. Ми використовуємо його на віртуальному хостингу для перевірки файлів та їх очищення від шкідливого коду. У цій статті розповімо, як працювати з програмою антивірусу в панелі керування хостингом cPanel.
Знаходиться програма у розділі «Безпека» на головній сторінці панелі. Якщо ви купували хостинг не у нас, але у вашій cPanel теж є така програма, її функціонал може відрізнятися. Кожен провайдер сам налаштовує роботу сервісу та обирає, які функції будуть доступні клієнтам.
Зміст
- Принцип роботи Imunify360
- Як очистити інфіковані файли
- Як відновити вихідні версії файлів
- Як додати файли до списку винятків
- Як увімкнути автоматичне очищення файлів
- Як запустити сканування вручну
- Як переглянути історію сканувань
- Як дозволити заблоковані файрволом дії
- Як вимкнути файрвол
Принцип роботи Imunify360
Антивірус Imunify360 сканує файли в режимі реального часу під час завантаження їх на сервер або будь-які модифікації. Якщо в результаті сканування антивірус знайде у файлах шкідливий код, він відобразить ці файли в розділі «Malware Scanner» всередині програми Imunify360 cPanel, де їх можна буде вилікувати.
Крім того, якщо антивірус знайде у вас в обліковому записі шкідливі файли, на вказану в налаштуваннях cPanel електронну пошту прийде лист із проханням очистити файли або додати їх до списку винятків. Лист буде надходити щодня, доки ви вирішите проблему.
Файрвол Imunify360 захищає ваш обліковий запис від спроб виконати шкідливий код. Навіть якщо зловмиснику вдасться додати до файлу сторонній код і антивірус розпізнає цей файл як інфікований, файрвол блокуватиме будь-які спроби звернутися до такого файлу.
Блокуватимуться не лише дії щодо інфікованих файлів, а й дії, які порушують політику нашого файрвола ModSecurity. Тому в цьому розділі можуть бути записи щодо файлів, які Imunify360 не відзначили як інфіковані.
Запис про кожну заблоковану дію з’явиться в розділі «Proactive Defence» усередині програми Imunify360 у cPanel, де файрвол можна буде вимкнути, або зробити так, щоб описані там дії більше не блокувалися.
Як очистити інфіковані файли
Натисніть кнопку «Clean up all» праворуч над таблицею на головній сторінці програми Imunify360.
Очиститься при цьому лише шкідливий код, решта даних не постраждає. Якщо зловмисник не очистив їх перед впровадженням свого коду.
Після натискання кнопки ви побачите повідомлення, що протягом двох тижнів з моменту очищення в карантині зберігатимуться копії оригінальних файлів на випадок, якщо знадобиться повернути все у вихідний стан. Натисніть «Yes, clean up».
Очищення відбудеться у реальному часі. Ви побачите, як у заражених файлів у таблиці зміниться значення у колонці «Status».
Статус «Cleaned» означає, що після видалення шкідливого коду всередині файлу залишився вміст.
Статус «Content removed» означає, що крім шкідливого коду всередині файлу нічого не було. Таке можливо, якщо перед використанням коду зловмисник спеціально зачистив файл.
Після очищення перевірте працездатність сайту. Якщо все працює, вітаємо — ви у безпеці. Якщо щось зламалося, значить після видалення шкідливого коду вихідний вміст якогось файлу виявився пошкодженим. У цьому випадку ви можете відновити вихідні версії файлів.
Як відновити вихідні версії файлів
За допомогою колонки «Scan date» виберіть у таблиці всі файли, вихідні версії яких потрібно відновити, потім над таблицею праворуч натисніть на зелене посилання з текстом «Restore original files».
Ви також можете відновлювати файли окремо і щоразу перевіряти, чи сайт почав працювати. Для цього у рядку з потрібним файлом натисніть на іконку з годинником у колонці «Actions».
Відновити вихідну версію файлів можна протягом 14 днів з моменту очищення. Після цього їх буде видалено з карантину. Щоб перевірити, скільки днів файл ще зберігатиметься в карантині, клацніть по ньому в таблиці. Після цього розкриється детальна інформація про файл, де і буде вказано час, який залишився.
Після відновлення вихідних версій файлів антивірус знову може позначити їх як заражені. З зараженими файлами обов’язково потрібно щось зробити, інакше ваш сайт може бути в небезпеці, та й наша система продовжить надсилати повідомлення з вимогою вжити заходів.
Рішенням буде залити більш ранню версію зараженого файлу, де ще немає стороннього коду. Ви можете зробити це з бекапу, який створюється для вашого сайту автоматично і зберігається в програмі JetBackup у панелі керування хостингом cPanel.
Інструкція по роботі з програмою JetBackup
Якщо перезалити файл з бекапу не допомогло, значить файли у ньому теж заражені. У цьому випадку у вас є два варіанти:
- Перезалити файл із офіційного джерела або копії на локальному комп’ютері, якщо вона є.
- Додати файл до списку винятків, якщо ви впевнені, що він не інфікований.
Якщо немає можливості перезалити файл, доведеться звернутися до розробника, щоб оцінив ситуацію і допоміг її виправити, або додавати файл до списку винятків на свій страх і ризик.
Як додати файли до списку винятків
На головній сторінці антивіруса перейдіть у розділ «Ignore List» під заголовком «Malware Scanner». Потім над таблицею праворуч натисніть кнопку «Add new file or directory» і вкажіть шлях до файлу або каталогу.
Після цього файл з’явиться у таблиці. Якщо потрібно, його можна видалити зі списку ігнорованих за допомогою опції в колонці «Actions».
Як увімкнути автоматичне очищення файлів
Для цього перейдіть у налаштування антивірусу у верхньому правому куті екрана і в рядку «Default action on detect» виберіть варіант «Cleanup». Після цього не забудьте зберегти зміни.
Як і у випадку з ручним очищенням, після автоматичного очищення будуть створюватися копії вихідних файлів, які можна буде відновити протягом 14 днів.
Як запустити сканування вручну
На головній сторінці антивіруса натисніть кнопку «Start scanning» у правій частині екрана над таблицею.
Потім підтвердіть дію у спливаючому вікні, натиснувши «Yes, start scan».
Сканування відбудеться у фоновому режимі. Якщо через деякий час у таблиці не з’явилося нових заражених файлів, значить всі файли в порядку.
Як переглянути історію сканувань
На головній сторінці антивірусу перейдіть до розділу «History» під заголовком «Malware Scanner». У цьому розділі будуть записуватися всі дії, які будь-коли здійснювалися в антивірусі: результати сканування, очищення та відновлення файлів, а також їх додавання до списку тих, що ігноруються.
Як додати заблоковану файрволом дію до списку винятків
У розділі «Proactive Defence» у рядку з потрібною дією натисніть на значок шестерні. З’явиться спливаюче вікно, в якому ви можете вибрати одне з двох:
- Ignore detected rule for the file — ігнорувати виявлене правило для цього файлу;
- Ignore all rules for the file — ігнорувати усі правила для цього файлу.
Ігноруйте правила тільки якщо на 100% впевнені у своїх діях, тому що через це може постраждати ваш сайт. Залежно від ситуації завдяки цьому зловмисник зможе використати вразливість в інфікованому файлі, або обійти наш основний файрвол ModSecurity.
Якщо дія блокується по відношенню до інфікованого файлу, спробуйте вилікувати його або перезалити. Якщо ж стосовно ModSecurity — напишіть нам у підтримку, щоб ми подивилися на ситуацію та допомогли розібратися.
Як вимкнути файрвол
У блоку «Mode settings» під заголовком «Proactive Defence» є опція, яка відключить файрвол Imunify360.
Вимикайте цей файрвол тільки якщо на 100% впевнені у своїх діях, тому що так ваш сайт виявиться без одного з рівнів захисту, через що може постраждати.
