Как знать какой из сайтов взломан?

Question

[referakk]

Здравствуйте.

Получил абузу, что с моего сервера идет сетевая атака... Из подробностей только кусочек логов вида:

/xxxx/sites/xxxxxxx.net/web/htdocs/logs/access:95.xxx.xx.xx - - [18/Nov/2018:16:27:29 +0100] "GET / HTTP/1.1" 301 - "-" "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:61.0) Gecko/20100101 Firefox/61.0"

Проблема в том, что на сервере несколько десятков сайтов (все под своими юзерами), и каждый проверять и лечить - лениво... Подскажите плиз, можно как-то чем-то узнать, какой именно взломали?

Answer 1

[Михаил Есенин]

0. Изучить логи. Действительно, запрос выше мог быть вызван вирусом, а мог и не быть. Но начать с этого сайта стоит.
1. Просмотреть дату изменения файлов и содержимое главных файлов. Дата часто меняется, но встроенный скрипт обнаружишь невооруженным глазом.
2. Просканировать все файлы сканером вроде AI-Bolit - он выявит внедренные вирусы.
3. Проверить внешний периметр - добавить все сайты в онлайн-сканеры вроде METASCAN или Detectify. Они быстро найдут подозрительные скрипты и дыры

Answer 2

[Дмитрий]

/xxxx/sites/xxxxxxx.net/web/htdocs/logs/access:95.xxx.xx.xx

на это и ориентируйтесь. Похоже что каждый сайт в своём каталоге.

Comments

[referakk]

Этот кусок лога был прислан в абузе, к моему серверу каталоги отношения не имеют.
С помощью поиска по тексту проверил все файлы сервера на совпадение "xxxxxxx.net" - ничего не найдено.

[zorca]

Это логи атаки на чужой сервер

Answer 3

[Юрий Самойлов]

Один день бесплатно вроде.
https://virusdie.ru/