@VladimirPortev

Как понять откуда был залит Backdoor на сайт?

Всем привет.
Такой вопрос.
Довольно часто на мой сайт залазиет вирус
Backdoor:PHP/WebShell.A

Я его выпиливаю, чищу файлы и тд.
Но он опять появляется спустя пару месяцев

Подскажите, пожалуйста, как мне узнать откуда он все время приходит и как защитить сайт?

Сайт у меня на modx. Modx обновлен до последней версии.
PHP 7 стоит.
Права на папки и файлы стоят 644 и 755 соотв.
Может ли быть причина в хостинге (valuehost) - тп говорит, что причина не в них,
а в файлах разработки движка.

Я гуглил. Но гугл дает только описание что такой Backdoor
А как от них обезопаситься - я не нашел.
Подскажите, пожалуйста, как мне это все проконтроллить,
чтобы такого больше не повторялось?
  • Вопрос задан
  • 721 просмотр
Решения вопроса 1
В дополнении к словам Roman T, добавлю:
Backdoor это не вирус, а скорее троянский конь. То есть, он не внедряется на Ваш сервер самостоятельно, а заносится вручную. Людям с переизбытком гормонов не сидится на месте, и они сканируют сеть через сканеры уязвимостей.

Подскажите, пожалуйста, как мне это все проконтроллить,
чтобы такого больше не повторялось?

Так как нарушителям нужно сначала обнаружить уязвимость на Вашем сайте, они ведут поиск уязвимых сайтов посредством сканеров (специальных программ).
  1. Воспользоваться теми же сканерами уязвимостей, чтобы знать свои же ошибки и устранить их. Установите их и просканируйте свой же сайт.
  2. Сканеры могут просматривать наименование и версии Вашего ПО или пробовать отправляя множество пробных запросов на сервер. Это информация нужна, т.к. есть база данных уязвимостей конкретных движков с указанием версии. То есть, если удалить информацию о ПО (наименование движка, версию, ...) с и других мест и отлавливать пробные запросы с последующей блокировкой IP адресов нарушителей, то можно значительно усложнить жизнь им. Для блокировки посмотрите fail2ban и статьи по нему, но к сожалению только если у Вас VPS на хостинге.

  3. Так же если у Вас VPS, то установить и настроить инструменты для обнаружения rootkit. Я раньше использовал Rkhunter и chkrootkit. Даже, если на Ваш сервер будет внедрена "зараза", то при периодическом сканировании, система оповестит Вас об угрозе
  4. Ну и наконец, для того, чтобы совершенно избавиться от подобных случаев, нужно сайт перевести на статику. Есть генераторы статических сайтов для удобства( Hugo, Ghost, Pelican, ...). Если нужен гладкий переход, то можно комбинировать: modX админка -> Обновление контента -> Генерация статического сайта -> Веб сервер раздает только статический сайт. Возможно есть расширение для modX и статья по его настройке
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
RomaZveR
@RomaZveR
CEO AlertMoney, PHP/Golang Developer
Раз стабильно перезаливают, значит по конкретной уязвимости в modx/стороннем плагине работают, ну или у вас на лендосе кривая форма с upload.
Самый первый шаг - смотреть логи web-сервера за дату/время создания файла бекдора.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы