Как отразить хакерскую атаку на сервер (хостинг)?

Question

[Елена]

Очень нужна помощь. Сразу отмечу, что предметной областью не владею. На днях взломали все сайты на хостинге (сервер vps) и произвели массовую рассылку, в результате все сайты завалили. Техподдержка указала на подозрительные файлы, мы их удалили и откатили все сайты на прошлогоднюю версию. Поменяли пароли, запретили доступ по всем айпи, кроме рабочих, в .htaccess. Ночью один из сайтов выдал ошибку 403, после чего на сайтах появилось это . Какие меры можно предпринять самостоятельно/совместно с техподдержкой или же без услуг специалиста не обойтись?

Comments

[Сергей Зеленский]

а пароли на админках менялись с прошлого года?

[Сергей]

" откатили все сайты на прошлогоднюю версию." что это значит? возможно дыра в сайтах также отсталась. Укажите еще вашего хостера

[Yakov Vylegzhanin]

olenne, сайты не на WP были случаем?

[Елена]

Сергей Зеленский: Пароль на root вчера поменяли, на админ и ftp в понедельник. После этого вчера по логам смотрели - долбился, но войти не мог. А сегодня ночью с аптаймробота пришло сообщение о 403 ошибке.

[Елена]

Сергей: FastVPS Eesti OU. Рассылка была 8 января, удалили файл file.php по совету техподдержки

[Елена]

Yakov Vylegzhanin: один на самописной цмс, остальные - джумла

[Сергей]

olenne: 6-8 января была крупная атака на джумловские сайты. У нас несколько сайтов на джумле пытались взломать админку (хорошо что она защищена дополнительно). Сайты были на разных хостингах, хостер тоже подтверждал что у некоторых клиентов тоже была проблема с этим.

[Adamos]

Елена: именно в джумле за последнее время вскрылось как минимум две опасные дыры, которые вовсю эксплуатируются. Так что откаты на предыдущие версии решают проблему только до первого залетного гостя. Обновляйтесь срочно до последних стабильных версий.

[Pavel]

Какая ОС стоит на сервере?

[Елена]

Debian 7.0

Answer 1

[nirvimel]

Похоже на взлом самой ОС на VPS. Вы концентрируетесь на сайтах - возможно, вы не там ищите.
Обновите ОС (кстати, какая у вас стоит?). Если есть возможно остановить сервер на какое-то время и есть все бекапы, то, возможно, лучше (и быстрее) установить свежую ОС из чистого образа с офф.сайта, после чего поднимать бекапы.

А вообще, вам нужен грамотный админ, не специалист по сайтам, а именно администратор ОС, который разбирается в системной безопасности. Его, возможно, не придется нанимать на постоянку, а просто дать ему разовую работу по установке ОС, настройке безопасности, заливке и поднятию сайтов. Но не стоит слишком на нем экономить, вы же не хотите опять увидеть этот зеленый флаг через пару недель.

Comments

[Сергей]

Немного дополню. Такого специалиста можно найти в той же хостинговой фирме, часто хостинг предоставляет такие услуги

[Елена]

А не подскажите текст ТЗ, что конкретно нужно сделать? Буду очень признательна!

[nirvimel]

Елена: ТЗ: "Обстоятельства: VDS взломан. Задача: проанализировать логи, по возможности определить вектор атаки. Переустановить ОС (свежую версию). Настроить строгие ограничения доступа, перекрыть все возможные вектора атаки. Настроить систему логгирования для выявления различных типов атак в дальнейшем. Поднять веб-сервер и необходимые сервисы, залить сайты из бекапа. Обеспечить штатное функционирование всех сайтов. Гарантировать от повторения атак данного типа.".

Дальше подробно расписывайте весь софт который должен быть установлен: какой веб-сервер, какие ЯП, какие технологии используются (все это ему придется ставить, он должен знать что ему предстоит, а вы должны быть уверены, что он компетентен во всех этих вопросах).

Так же укажите все роли доступа к серверу, то есть какой доступ должен иметь какой администратор какого сайта (это важно для безопасности, дать каждому доступа не больше чем необходимо) + роль администратора всего сервера, который может добавлять/удалять сайты (очень желательно, чтобы это был не root).

[Елена]

nirvimel: Спасибо!

Answer 2

[xmoonlight]

Смените хостера. Может проблема не Ваша.

Comments

[nirvimel]

Если это был бы shared hosting, то да. Но это же VPS.

[xmoonlight]

nirvimel: понятно... но сложно точно сказать как туда могли влезть. поэтому и такой совет...

[Oleg Burca]

вы бы ещё порекомендовали Винду переустановить...

[Oleg Shevelev]

Всё что внутри VPS может быть отлично настроено, однако если взлом произошёл самого сервера на котором виртуализация то все VPS не более чем папки на диски:) В большинстве случаев.

[sisn]

На VPS всегда это проблема покупателя (клиента)
Так как он как раз покупает сервер VPS для ПОЛНОГО администрирования так как он хочет, вне зависимости от хостера.

[sisn]

Oleg Shevelev:

Всё что внутри VPS может быть отлично настроено, однако если взлом произошёл самого сервера на котором виртуализация то все VPS не более чем папки на диски:) В большинстве случаев.

Таких давно не используют.

Answer 3

[Александр Таратин]

Обновить все что только можно обновлять (os, apache, nginx, php, cms, плагины cms) + Как защитить сайты от взлома?
Переместить админки cms на нестандартные url адреса и закрыть их через www.softtime.ru/info/apache.php?id_article=27

Запретить выполнение php кода в директориях где php кода не должно быть вообще, особенно если в нее могут заливаться пользовательские файлы.
Запретить пользователю от которого запускается web сервер запись и чтение директорий, которые он не должен трогать.

Comments

[Елена]

А как быть с доменами и пользователями? Этот чел добавил свой домен к нам и создал нового пользователя.

[Konstantin Malyarov]

Елена: удалить его домен и удалить пользователя. Либо ограничить его статус из root в users.

[Александр Таратин]

Елена: Отказаться от панелей администрирования хостингом, если таковые используете. Админить через консоль. Вход только по ssh ключу. Никаких ftp, только sftp через ssh.
Старайтесь минимизировать число используемых компонентов в системе. Больше компонентов = больше дыр.
Распространенный пример: выкинуть phpmyadmin и аналоги. Базой можно вполне управлять через десктопные клиенты.

[Елена]

Konstantin Malyarov: Удалили папку с содержимым из www, она пустая но не удалилась

[Александр Таратин]

Елена: После взлома я бы переустановил всю os c нуля ибо если у взломщика был root то наверняка остались закладки для новых взломов.

[Konstantin Malyarov]

Елена: предпоследний комментарий. Это закладка для восстановления его удалённой записи. Посмотрите свойство папки (кто выдал права и что с ней можно делать).

[Елена]

У хостинга своя панель, она отличается от стандартных ISP. Владелец папки admin, права на папке 755

Answer 4

[Пума Тайланд]

просто посмотреть логи как вас взломали и закрыть дырку

Comments

[Елена]

Про логи я уже писала, можете прокомментировать?

[Пума Тайланд]

Елена: смотреть надо все логи в том числе и логи вебсервера

[Елена]

Пума Тайланд: Не подскажите, где они хранятся или как файл называется? А то мы сейчас пытаемся найти фрилансера на эту работу, не хочется лапши на уши

[Пума Тайланд]

Елена: все логи в /var/log
если есть деньги обращайтесь.

Answer 5

[Влад Животнев]

proftpd установлен? Какой версии?

UPD: как и предполагалось - это CVE-2015-3306 (habrahabr.ru/post/257027/)

Comments

[Елена]

ProFTP 1.3.4a-5+deb7u2

[Влад Животнев]

Елена: ставьте новый сервер, переливайте все сайты заново (не из тех бэкапов, которые имеются).
У всего интернета был свободный доступ к любым каталогам на сервере, куда имеет доступ пользователь, от которого был запущен proftpd (емнип, пользователь ftp).

[Влад Животнев]

Елена: и да, имеют до сих пор, пока proftpd не будет обновлен.

Answer 6

[Елена]

Спасибо всем за ответы и рекомендации! Вирусы удалили, по логам определили, что взлом был произведен через дырки в джумле. Модуль mod_copy был выключен.

Comments

[Довольный Айтишникъ]

Удачи Вам)

[Елена]

Денис Борисов: Спасибо!