@Alexey10

Взломали хост, что делать?

Ребят, на хостинге лежит много сайтов. Его взломали и теперь в папках с сайтами появляются лишние файлы, которые мешают работоспособности их . Удалял эти файлы, но они появлялись опять. Говорят, что есть какой-то вредоносный файл на хосте, но как его найти не знаю. Что посоветуете ?
  • Вопрос задан
  • 138 просмотров
Пригласить эксперта
Ответы на вопрос 6
OnYourLips
@OnYourLips
Для начала надо сделать бекап данных, но ни в коем случае не проектов.
Сделать дамп скомпрометированного сервера для изучения причин взлома.
Удалить скомпрометированный сервер.
Развернуть и настроить новый.
Восстановить бекап данных.
Заново отдеплоить проекты.

Ни в коем случае нельзя лечить скомпрометированный сервер.
Ответ написан
opium
@opium
Просто люблю качественно работать
Прогнать какой нить Айболит
Проанализировать время появления файлов и найти откуда они появляются
Ответ написан
FoxCloud
@FoxCloud
Хостинг и облачные сервисы
Если веб-сайт не работает или работает не как положено, это может следствием активности вредоносных скриптов.
Чтобы решить проблему с вредоносными вставками и скриптами, следуйте инструкциям (от простых до более сложных):

Проверьте веб-сайт онлайн https://sitecheck.sucuri.net/. Эта проверка может указать на проблему.
Если на веб-сайте недавно было установлено дополнительное программное обеспечение (плагины / темы), убедитесь, что источник этого программного обеспечения является надежным.
Убедитесь, что все плагины и темы, которые в настоящее время используются на сайте, не подвержены риску и не содержат критических уязвимостей.
Составьте список всех ваших плагинов.
Перейдите в поиск Google -> Инструменты -> поиск за последние 3 месяца.
Строка поиска "ИМЯ_ПЛАГИНА критическая уязвимость". Этот поиск поможет вам определить, были ли за последнее время критические уязвимости, которые могли привести к взлому веб-сайтов вашей CMS.

Войдите в базу данных phpmyadmin или в панель управления сайтом. Проверьте количество пользователей, особенно с правами администратора. Если есть подозрительные пользователи, удалите их.
Удалите все файлы из корневого каталога и базы данных сайта. Восстановите сайт из резервной копии.
Смените пароли: на хостинг панель, на панель управления сайта, на базу данных (вам потребуется перенастроить соединение с базой данных в коде сайта).
Установите плагин безопасности для своей CMS. Для wordpress сайтов установите iThemes Security.
Пропарсите access логи сайта на POST запросы.
Свяжитесь с хостинг компанией и попросите помощи в устранении вирусов и устранении уязвимостей. Скорее всего, это будет платная услуга.
Проверьте сайт на наличие вирусов и очистите его.
Используйте утилиту ai-bolit от revisium.
Скачайте ai-bolit и запустите тест. Пример:
php /root/aibolit/ai-bolit.php \
--size=900K \
--mode=2 \
--path=/var/www/directory_before_website/your_website/ \
--report=/var/www/directory_before_website/your_website/vir.html \
Вредоносные скрипты также могут находиться за пределами корневого каталога веб-сайта, поэтому проверка каталога на уровень выше является хорошей практикой. Измените ключ path: --path=/var/www/путь_к_каталогу/ Вы можете открыть отчет по ссылке: your_site.ru/vir.html Просмотрите отчет и очистите сайт от вредоносных вставок.
Очистите базу данных от вредоносных вставок.
Вручную проверьте сайт на наличие вредоносного кода и уязвимостей.
Очистив сайт от вирусов, настройте antishell скрипт.
Antishell проверяет веб-сайт на наличие изменений в коде и отправляет электронное письмо с отчетом, если какие-либо изменения были сделаны. Используя антиоболочку, можно узнать время инъекции и какие скрипты были взломаны. Имея конкретное время взлома, можно проанализировать access логи; найти IP-адрес злодея и его запросы к веб-сайту.
Сделайте резервную копию сайта, очищенного от вставок.
Скачайте antishell.
Распакуйте архив в корень сайта, чтобы получить следующую структуру: /your_site/antishell/antishell.php
Настройте antishell.php (настройка интуитивно понятна).
Сконфигурируйте планировщик cron для запуска скрипта каждые 5 минут:
php /var/www/directory_before_website/your_website/antishell/antishell.php
Как только файл(ы) на веб-сайте будут изменены и cron запустит проверку antishell, вам должно прийти письмо.
Ответ написан
Лечить - бесполезно! Откатывать назад (бекап) - бесполезно! Так как все повторится.

Что нужно: Обратиться к специалисту, ведь если бы Вы были специалистом:
1) не задавали бы вопрос здесь
2) не допустили бы такое в принципе

Как поступить прямо сейчас:
Разнести проекты по разным хостингам или взять VPS и настроить безопасность: read only на все php файлы - как минимум.
Мер на самом деле куча, для полноценного ответа на Ваш вопрос нужно писать большую статью. Статью про безопасность. Как лечить - это не ко мне.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы