Итак, продолжение банкета. На данный момент ситуация следующая. Прошлый раз пустой пхп оказался лишь верхушкой айсберга) На сайте лежал хитроспрятаный бэкдор, который просто ждал когда я потеряю бдительность и разворачивался из глубоко затеряной папки.
Но и на старуху бывает проруха)
Итак, чтобы с вами небыло как со мной, рекомендую сделать следующее:
- Отказаться от устаревших фреймворков и CMS. Если вам приходится юзать старую джумлу и вы не хотите подвергать себя риску — заведите для неё отдельный акк на хостинге — это минимизирует риски потери основных сайтов. Тут цена-качество(количество гемора по восстановлению системы например)
- Если вас всё же поломали —
- полностью удаляем все директории сайтов
- проверяем серверный корень не лежит ли там файл свежесозданный с разрешением php например
- вспоминаем про бэкапы, которые у вас уже должны нормально лежать согласно прошлой статье — восстанавливаемся из них и только из них — это важно если вам дорого время. Часто вирус просто загаживает сайт сотнями спам-ссылок или перезаписывает всё нафик.
- не включая сайт по возможности выкачиваем бэкап на комп. Часто уже на этом этапе касперский может заметить левый файл и взвизгнуть — такой файл сразу удаляем.
- скачиваем айболита для вашей операционки, в поддиректорию site закидываем ваш распакованый сайт
- запускаем либо батник для винды, либо php скрипт для линукса, так же если у вас есть ssh доступ к хостингу, то можно закачать айболита на сервер и запустить его оттуда согласно инструкциям на сайте.
- уровень параноидальности рекомендую выставить сперва равный 1, чтобы убрать явную мишуру, после- 2, чтобы убедиться, что нигде больше лазеек у вирусни нет, хотя конечно айболит будет ругаться, но 100% метод узнать всё ли в порядке — найти данную версию цмс и сравнить оба файла в том месте где система считает что у вас посторонний код.
- удалить всё лишнее на сайте исходя из того что найдено в бэкапе
- теперь важно — сайт не запускаем пока не поменяем пароли на БД и на FTP ибо вы их скомпрометировали, есть вероятность близкая к охрилиону процентов, что пароль уплыл и даже если один процент вероятности, что это не так — считайте что уплыл.
- После замены паролей — заливаем их в конфиг, меняем там ещё и соль
- Теперь нужно быстро сменить пароль в самой админке сайта, пока бот не очухался
- всё. Снова дышим ровно