@kolibry1
web-developer- junior

Что делать,если на сайт залит вредоносный файл?

Добрый день.
Сайт был заблочен хостером, хостер отписался о том, что в директорию был залит вредоносный файлик.
Файлик был мною удален (тот один, на который указал хостер), вопросы следующие - каков алгоритм поиска других (если они есть) чужеродных строчек кода/файлов?
каков алгоритм исправления? будет ли достаточно сменить пароли от фтп, сипанели, бд и админки?
убедительная просьса не отписываться короткими ответами в духе "см error_log" &
спасибо!
  • Вопрос задан
  • 701 просмотр
Решения вопроса 1
@ramjke
1. Обновление движка. Регулярно выпускаются обновления безопасноти, закрывающие дыры в функционале движка. Если обновления не ставить - Вас регулярно будут ломать.
2. Права на папки 755, права на файлы 644 и никак иначе.
3. Разные владельцы для разных сайтов. Если сделаете несколько сайтов под одним владельцем - есть риск заражения всех сайтов.
4. Никаких левых плагинов с непонятных сайтов. Только офф плагины и аддоны.
5. Анализ логов доступа к сайту. Спросите у хостера, когда начала проявляться активность - и просмотрите POST запросы к Вашему сайту в админскую директорию. Анализ логов позволит установить айпишник злоумышленника и уязвимость.
6. Скачайте свежий бекап сайта к себе на компьютер и прогоните его антивирусом - простейшие инъекции почти любой антивирь найдёт. Особая рекомендация - если есть комп с ОС Линукс, используйте Maldet - ориентирован на безопасность сайтов.
habrahabr.ru/post/194346
7. Следите за тем, чтобы на тех компах, с которых Вы заходите, не было вирусов. Никогда не сохраняйте пароли в браузере и в фтп-клиентах.
8. Нет, смена паролей не помогает, если вредоносный файл был занесён через уязвимость. Помогает соблюдение вышеописанных правил + использование актуальной, регулярно обновляемой версии движка.
9. Ограничьте доступв админку сайта, панели управления хостинга по айпишнику (то есть оставив вход только со своих айпишников) - бережёного б-г бережёт.
Ответ написан
Пригласить эксперта
Ответы на вопрос 7
@vilgeforce
Раздолбай и программист
Алгоритм должен заключаться в залитии заведомо чистой копии и смене паролей. Никто не дает гарантии 100% обнаружения заразы.
Ответ написан
@other_letter
Как делаю я на мелких сайтиках (с крупными не работаю, ибо не мой профиль) - просто смотрю дату создания файлов (открываешь FTP чем-то типа TC и ищешь по дате). А потом уже эти файлики подробненько читаю.
Ответ написан
sashkets
@sashkets
Прекратил отвечать после 24.02.2022
когда у меня был такой случай, то я скачивал весь сайт на комп с виндой и натравливал каспера на него.

п.с. хостер это ерунда, хуже если яндекс найдет такое....
Ответ написан
@Taksist410
Скорее всего пароль фтп был украден вирусом с целью размещения чужой рекламы на вашем сайте. У нас такое было и после чистки со сменой пароля на фтп больше не повторялось.
Ответ написан
Комментировать
@inkvizitor68sl
Linux-сисадмин с 8 летним стажем.
Ответ написан
Комментировать
@NO_GLITCH
Искать вредоносный код - огромный гемор, если это не явные шаблоны.
Надо смотреть дату модификации/доступа к файлам и искать вручную.
На данный момент есть способы обхода антивирусов и всяких манулов при установке бэкдоров.
Так что лучший способ - смена паролей + залить рабочую базу на чистую цмс.
Ответ написан
Комментировать
Hostwell
@Hostwell
Если у вас бесплатная популярная CMS типа WordPress с кучей установленных плагинов скачанных с инета, то сколько бы вы не удаляли файлики все равно они будут как то появляться. Нужно сначала решить откуда он взялся. Ну и конечно же удалить то что нашли. Также на всякий случай изменить пароли и глянуть какие там права стоят на ваши папки и имеет ли кто либо возможность записи в ваши папки из рядом расположенных юзеров. У дешевых хостингов или при неправильном построении предоставления услуг, любой пользователь может записать куда угодно. Советую переехать на hostwell.net/ua/hosting-base там все пользователи полностью изолированы между собой за счет предоставления каждому персональной файловой системы.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы