Задать вопрос
@kolibry1
web-developer- junior

Что делать,если на сайт залит вредоносный файл?

Добрый день.
Сайт был заблочен хостером, хостер отписался о том, что в директорию был залит вредоносный файлик.
Файлик был мною удален (тот один, на который указал хостер), вопросы следующие - каков алгоритм поиска других (если они есть) чужеродных строчек кода/файлов?
каков алгоритм исправления? будет ли достаточно сменить пароли от фтп, сипанели, бд и админки?
убедительная просьса не отписываться короткими ответами в духе "см error_log" &
спасибо!
  • Вопрос задан
  • 701 просмотр
Подписаться 3 Оценить Комментировать
Решения вопроса 1
@ramjke
1. Обновление движка. Регулярно выпускаются обновления безопасноти, закрывающие дыры в функционале движка. Если обновления не ставить - Вас регулярно будут ломать.
2. Права на папки 755, права на файлы 644 и никак иначе.
3. Разные владельцы для разных сайтов. Если сделаете несколько сайтов под одним владельцем - есть риск заражения всех сайтов.
4. Никаких левых плагинов с непонятных сайтов. Только офф плагины и аддоны.
5. Анализ логов доступа к сайту. Спросите у хостера, когда начала проявляться активность - и просмотрите POST запросы к Вашему сайту в админскую директорию. Анализ логов позволит установить айпишник злоумышленника и уязвимость.
6. Скачайте свежий бекап сайта к себе на компьютер и прогоните его антивирусом - простейшие инъекции почти любой антивирь найдёт. Особая рекомендация - если есть комп с ОС Линукс, используйте Maldet - ориентирован на безопасность сайтов.
habrahabr.ru/post/194346
7. Следите за тем, чтобы на тех компах, с которых Вы заходите, не было вирусов. Никогда не сохраняйте пароли в браузере и в фтп-клиентах.
8. Нет, смена паролей не помогает, если вредоносный файл был занесён через уязвимость. Помогает соблюдение вышеописанных правил + использование актуальной, регулярно обновляемой версии движка.
9. Ограничьте доступв админку сайта, панели управления хостинга по айпишнику (то есть оставив вход только со своих айпишников) - бережёного б-г бережёт.
Ответ написан
Пригласить эксперта
Ответы на вопрос 7
@vilgeforce
Раздолбай и программист
Алгоритм должен заключаться в залитии заведомо чистой копии и смене паролей. Никто не дает гарантии 100% обнаружения заразы.
Ответ написан
@other_letter
Как делаю я на мелких сайтиках (с крупными не работаю, ибо не мой профиль) - просто смотрю дату создания файлов (открываешь FTP чем-то типа TC и ищешь по дате). А потом уже эти файлики подробненько читаю.
Ответ написан
sashkets
@sashkets
Прекратил отвечать после 24.02.2022
когда у меня был такой случай, то я скачивал весь сайт на комп с виндой и натравливал каспера на него.

п.с. хостер это ерунда, хуже если яндекс найдет такое....
Ответ написан
@Taksist410
Скорее всего пароль фтп был украден вирусом с целью размещения чужой рекламы на вашем сайте. У нас такое было и после чистки со сменой пароля на фтп больше не повторялось.
Ответ написан
Комментировать
@inkvizitor68sl
Linux-сисадмин с 8 летним стажем.
Ответ написан
Комментировать
@NO_GLITCH
Искать вредоносный код - огромный гемор, если это не явные шаблоны.
Надо смотреть дату модификации/доступа к файлам и искать вручную.
На данный момент есть способы обхода антивирусов и всяких манулов при установке бэкдоров.
Так что лучший способ - смена паролей + залить рабочую базу на чистую цмс.
Ответ написан
Комментировать
Hostwell
@Hostwell
Если у вас бесплатная популярная CMS типа WordPress с кучей установленных плагинов скачанных с инета, то сколько бы вы не удаляли файлики все равно они будут как то появляться. Нужно сначала решить откуда он взялся. Ну и конечно же удалить то что нашли. Также на всякий случай изменить пароли и глянуть какие там права стоят на ваши папки и имеет ли кто либо возможность записи в ваши папки из рядом расположенных юзеров. У дешевых хостингов или при неправильном построении предоставления услуг, любой пользователь может записать куда угодно. Советую переехать на hostwell.net/ua/hosting-base там все пользователи полностью изолированы между собой за счет предоставления каждому персональной файловой системы.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы