✥ Список первоочередных мер при вломе сайта
- Подробности
- Просмотров: 1016
Список не полон, но главное есть:
- Сразу после обнаружения заражения - скачайте себе все лог-файлы доступа к вашему серверу (или запросите их у хостера) доступные за последнее время - для поппытки понять через что ломали - error_log, access_log.
- До начала каких либо действий и лечения сохраните зараженную последнюю копию сайта у себя на ПК (так как не зараженная версия бекапа может быть очень старой и вы можете потерять часть обновленной информации.)
- Далее скопируйте бекам в другое место и уже второю копию пытайтесь лечить. Проверьте данный бекам антивирусом. К сожалению не всегда оперативно, но и обычный компьютерный антивирус - Касперский, ДокторВеб - часто помогает выявить проблемные скрипты. Так же для поиска вирусов можно использовать бесплатный скрипт поиска: https://www.revisium.com/ai/ - AI-Bolit. Искать можно как на сервере, так и в скаченной копии с помощью - их интерпретатора языка PHP для виндовс.
- Как уже писалось выше проще всего поменять зараженный сайт бекапом предыдущей версии когда сайт еще не был заражен - в нем не было зловредных ( измененных ) скриптов целиком. Или измененных скриптов.
- Если нет не зараженной версии - удаляем часть кода зловредного кода скриптов в ручную.. (всегда делайте бекапы - хотя бы раз в 3 месяца).
- В случае если есть не зараженная и актуальная версия сайта - закачиваем ее и обновляем все что можно обновить, удаляем взломанные компоненты и модули - если это возможно, ставим минимально-рабочии права на файлы, меняем все пароли.
Письмо от хостера:
"Для предотвращения рассылки спама c вашего аккаунта была заблокирована отправка почты"
Решение от хостера:
Удалите спам-скрипты. Список всех скриптов рассылающих сообщения указан в файле mail.log. Его
можно найти в панели управления:
- ISPmanager: Менеджер файлов- mail.log;
- Parallels Plesk: Корневая папка — logs — mail.log;
- cPanel: Диспетчер файлов — logs — mail.log.
Однако далее все равно возвращаемся к пункту 1 - так как "зловредные" скрипты мы увидели далеко не все, просто мы увидим здесь крипты которые непосредственно отправляют:
mail() on [/var/www/vhosts/rayon/components/com_adsmanager/views/front/tmpl/login.php:2]: To:
Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.
-- Headers: From: "Karen Lucas" <
Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.
-p1ai> Reply-To:"Karen Lucas" <
Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.
-p1ai> X-Priority: 3 (Normal) MIME-Version: 1.0 Content-Type: text/html; charset="iso-8859-1" Content-Transfer-Encoding: 8bit
mail() on [/var/www/vhosts/rayon/images/foto/2/lib.php(1963) : eval()'d code:775]: To:
Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.
-- Headers: Date: Tue, 14 Jul 2015 01:52:28 +0300 From: Jill Williams <
Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.
-p1ai> Message-ID: <
Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.
-p1ai> X-Priority: 3 X-Mailer: PHPMailer 5.2.9 (https://github.com/PHPMailer/PHPMailer/) MIME-Version: 1.0 Content-Type: multipart/alternative; boundary="b1_10667940fcb6c65c527a772464e30447" Content-Transfer-Encoding: 8bit
После устранения проблемы на виртуальном хостинге вы можете самостоятельно разблокировать отправку почты. Для этого удалите из файла php.ini следующую строку: disable_functions=,mail.
После устранения следов взлома обязательно не забудьте следующее
Измените используемые пароли:
- от услуги хостинга;
- пароли FTP;
- пароль базы данных;
- пароль админа сайта.
Минимальная защита сайта от взлома
- Используйте права «775» ТОЛЬКО если это действительно необходимо
- Обновляйте CMS и ее плагины;
- Сложные пароли от 12 символов - простые пароли очень легко подбираются;
- Пользуйтесь антивирусным ПО на своем ПК;
- Пользуйтесь современными версиями браузеров (плагин Surfpatrol).
После "лечения" на всякий случай не поленитесь помониторить панели: Яндекса - вкладка «Безопасность» и Google — «Состояние» — «Вредоносные программы». Т.е. мнении поисковиков о вашем сайте.
Есть что добавить пишите!
Комментарии
2. Коробка может хранится сколько угодно. Но лучше её не вскрывать. Может возникнуть ситуация что кто то введет ключ раньше Вас и мы уже не сможем помочь, так как по чеку Вы уже являлись владельцем кода в этот период.
Цитата:
2) Отключаем прямой запуск php-скриптов (- проблему со сторонними расширениями можно частично решить добавляя исключения):
В корень движка .htaccess со следующим содержанием:
order deny,allow
deny from all
order allow,deny
allow from all
order deny,allow
allow from all
Во все подкаталоги:
Deny from all
или
Deny from all
3) И ГЛАВНОЕ - бэкап, бэкап и еще раз бэкап.
На счет браузеров - все о вас - https://www.surfpatrol.ru/ru/aboutYourBrowser )))
Про ФТП: Юзайте - SFTP (SSH File Transfer Protocol) — SSH-протокол для передачи файлов, работает поверх надёжного и безопасного протокола SSH. Можно узнать как подключиться и использовать здесь - https://www.reg.ru/support/hosting-i-servery/hosting-sajtov/nachalo-raboty-i-dostupy/kak-podklyuchitsya-po-sftp.