Ha a fertőzés egy különálló adatbázisban van, akkor érdemes víruskeresőt futtatni az itt megtalálható útmutató szerint. Ezt követően a honlap alsó részén a következő üzenet jelenik meg:
Ebben az esetben azt látjuk, hogy a sample123_inf elnevezésű adatbázis lett megfertőzve, és a fertőzés konkrétan a wp_posts táblában található.
Megjegyzés: a következő lépéseket körültekintően kell végrehajtani, mert az oldal hibás működését okozhatja.
COINHIVE TÍPUSÚ ADATBÁZIS-FERTŐZÉS:
Első lépésként biztonsági mentést hozunk létre az adatbázisról. Az adatbázist letöltjük a számítógépre: az adatbázisok listájában megkeressük a fertőzött adatbázist, majd a Kezelés – Letöltés gombra kattintva letöltjük az adatbázist.
Ezt követően belépünk a webhostinggal összekötött shell konzolba, például a következő útmutató szerint:
Az érintett adatbázist letöltjük a shell segítségével:
mysqldump -u username -p password -h host -P port database > infected_dump.sql
A username és a password mezőket helyettesítjük az adatbázishoz tartozó aktuális felhasználónévvel és jelszóval, a host mezőt a külsős hoszttal (pl. a MariaDB 10.1 adatbázis esetén ez mariadb101.websupport.sk), a port mezőt az adott porttal (pl. 3312).
Ezt követően a dump biztonsági mentésre (az adatbázis mentése szöveges formában) elindítjuk a scriptet, amely megtisztítja az adatbázist a CoinHive fertőzéstől:
perl -pe ‘s#<script[\s\S]*?>[\s\S]*?(CoinHive|authedmine)[\s\S]*?<\/script>##g’ < infected_dump.sql > clean_dump.sql
A következő paranccsal ismét feltölthetjük az adatbázist a szerverre:
mysql -u username -p password -h host -P port database < clean_dump.sql
Ezt követően ellenőrizni kell a weboldal működését. Az utolsó lépésben a tárhely foglaltság miatt javasoljuk a szükségtelen fájlok törlését a következő paranccsal:
rm infected_dump.sql clean_dump.sql