Как найти вирус на сайте

Оказывается, что популярные php-вирусы вполне хорошо обнаруживает серверный антивирус clamav. Это очень хорошо, потому что всякие Ai-Bolit`ы и Manul`ы мне не очень нравились, поскольку сами они работают на php, а значит каждый раз надо что-то куда-то скачать, обновить, запустить, долго ждать и т.п. Хотя если зараженный сайт висит на чужом виртуальном хостинге, то именно эти продукты являются хорошим и единственным решением. Но, к счастью, есть и простое серверное решение.

Итак, устанавливаем:

yum install -y clamav

Обновляем антивирусную базу (и не забываем делать это перед каждой очередной проверкой):

freshclam

Запускаем сканирование директории /var/www/:

clamscan -ir /var/www/

Можно установить ещё сервис clamd, но мне проще запускать freshclam и clamscan вручную или своим скриптом по расписанию.

Отчитывается о своей работе антивирус примерно так:

[root@~]# clamscan -ir /var/www/
/var/www/s1/public_html/wp-content/uploads/zoqdbooeaee.zip: Trojan.PHP.C99Shell FOUND
/var/www/s1/public_html/wp-content/uploads/wp-systems.zip: PHP.Shell-38 FOUND
/var/www/s1/public_html/wp-content/uploads/zeoaewbruci.zip: Trojan.PHP.C99Shell FOUND
/var/www/s2/public_html/images/ccc.php: PHP.Trojan.WSO FOUND
/var/www/s2/public_html/images/p.php.csv: PHP.Exploit.C99 FOUND
/var/www/s2/public_html/components/com_content/conflg.php: PHP.Trojan.WSO FOUND
/var/www/s2/public_html/components/com_content/ccs.php: PHP.Trojan.WSO FOUND
/var/www/s3/public_html/includes/print.php: PHP.Trojan.WSO FOUND

----------- SCAN SUMMARY -----------
Known viruses: 4297621
Engine version: 0.99
Scanned directories: 131419
Scanned files: 1193079
Infected files: 16
Data scanned: 52781.35 MB
Data read: 100394.92 MB (ratio 0.53:1)
Time: 5559.891 sec (92 m 39 s)

Если вы хотите, чтобы результаты проверки были сброшены в лог, то для этого есть специальный ключик:

clamscan -l /var/log/clamscan.log -r -i /var/www