И снова меня взломали)

Итак, продолжение банкета. На данный момент ситуация следующая. Прошлый раз пустой пхп оказался лишь верхушкой айсберга) На сайте лежал хитроспрятаный бэкдор, который просто ждал когда я потеряю бдительность и разворачивался из глубоко затеряной папки.

Но и на старуху бывает проруха)

Итак, чтобы с вами небыло как со мной, рекомендую сделать следующее:

  1. Отказаться от устаревших фреймворков и CMS. Если вам приходится юзать старую джумлу и вы не хотите подвергать себя риску — заведите для неё отдельный акк на хостинге — это минимизирует риски потери основных сайтов. Тут цена-качество(количество гемора по восстановлению системы например)
  2. Если вас всё же поломали —
    1. полностью удаляем все директории сайтов
    2. проверяем серверный корень не лежит ли там файл свежесозданный с разрешением php например
    3. вспоминаем про бэкапы, которые у вас уже должны нормально лежать согласно прошлой статье — восстанавливаемся из них и только из них — это важно если вам дорого время. Часто вирус просто загаживает сайт сотнями спам-ссылок или перезаписывает всё нафик.
    4. не включая сайт по возможности выкачиваем бэкап на комп. Часто уже на этом этапе касперский может заметить левый файл и взвизгнуть — такой файл сразу удаляем.
    5. скачиваем айболита для вашей операционки, в поддиректорию site закидываем ваш распакованый сайт
    6. запускаем либо батник для винды, либо php скрипт для линукса, так же если у вас есть ssh доступ к хостингу, то  можно закачать айболита на сервер и запустить его оттуда согласно инструкциям на сайте.
    7. уровень параноидальности рекомендую выставить сперва равный 1, чтобы убрать явную мишуру, после- 2, чтобы убедиться, что нигде больше лазеек у вирусни нет, хотя конечно айболит будет ругаться, но 100% метод узнать всё ли в порядке — найти данную версию цмс и сравнить оба файла в том месте где система считает что у вас посторонний код.
    8. удалить всё лишнее на сайте исходя из того что найдено в бэкапе
    9. теперь важно — сайт не запускаем пока не поменяем пароли на БД и на FTP ибо вы их скомпрометировали, есть вероятность близкая к охрилиону процентов, что пароль уплыл и даже если один процент вероятности, что это не так — считайте что уплыл.
    10. После замены паролей — заливаем их в конфиг, меняем там ещё и соль
    11. Теперь нужно быстро сменить пароль в самой админке сайта, пока бот не очухался
    12. всё. Снова дышим ровно

Смежные статьи:

  • Смежных статей не найдено
Яндекс.Метрика