Как отразить хакерскую атаку на сервер (хостинг)?

Немного дополню. Такого специалиста можно найти в той же хостинговой фирме, часто хостинг предоставляет такие услуги

А не подскажите текст ТЗ, что конкретно нужно сделать? Буду очень признательна!

Елена: ТЗ: "Обстоятельства: VDS взломан. Задача: проанализировать логи, по возможности определить вектор атаки. Переустановить ОС (свежую версию). Настроить строгие ограничения доступа, перекрыть все возможные вектора атаки. Настроить систему логгирования для выявления различных типов атак в дальнейшем. Поднять веб-сервер и необходимые сервисы, залить сайты из бекапа. Обеспечить штатное функционирование всех сайтов. Гарантировать от повторения атак данного типа.".

Дальше подробно расписывайте весь софт который должен быть установлен: какой веб-сервер, какие ЯП, какие технологии используются (все это ему придется ставить, он должен знать что ему предстоит, а вы должны быть уверены, что он компетентен во всех этих вопросах).

Так же укажите все роли доступа к серверу, то есть какой доступ должен иметь какой администратор какого сайта (это важно для безопасности, дать каждому доступа не больше чем необходимо) + роль администратора всего сервера, который может добавлять/удалять сайты (очень желательно, чтобы это был не root).

nirvimel: Спасибо!

Если это был бы shared hosting, то да. Но это же VPS.

nirvimel: понятно... но сложно точно сказать как туда могли влезть. поэтому и такой совет...

вы бы ещё порекомендовали Винду переустановить...

Всё что внутри VPS может быть отлично настроено, однако если взлом произошёл самого сервера на котором виртуализация то все VPS не более чем папки на диски:) В большинстве случаев.

На VPS всегда это проблема покупателя (клиента)
Так как он как раз покупает сервер VPS для ПОЛНОГО администрирования так как он хочет, вне зависимости от хостера.

Oleg Shevelev:

Всё что внутри VPS может быть отлично настроено, однако если взлом произошёл самого сервера на котором виртуализация то все VPS не более чем папки на диски:) В большинстве случаев.

Таких давно не используют.

А как быть с доменами и пользователями? Этот чел добавил свой домен к нам и создал нового пользователя.

Елена: удалить его домен и удалить пользователя. Либо ограничить его статус из root в users.

Елена: Отказаться от панелей администрирования хостингом, если таковые используете. Админить через консоль. Вход только по ssh ключу. Никаких ftp, только sftp через ssh.
Старайтесь минимизировать число используемых компонентов в системе. Больше компонентов = больше дыр.
Распространенный пример: выкинуть phpmyadmin и аналоги. Базой можно вполне управлять через десктопные клиенты.

Konstantin Malyarov: Удалили папку с содержимым из www, она пустая но не удалилась

Елена: После взлома я бы переустановил всю os c нуля ибо если у взломщика был root то наверняка остались закладки для новых взломов.

Елена: предпоследний комментарий. Это закладка для восстановления его удалённой записи. Посмотрите свойство папки (кто выдал права и что с ней можно делать).

У хостинга своя панель, она отличается от стандартных ISP. Владелец папки admin, права на папке 755

Про логи я уже писала, можете прокомментировать?

Елена: смотреть надо все логи в том числе и логи вебсервера

Пума Тайланд: Не подскажите, где они хранятся или как файл называется? А то мы сейчас пытаемся найти фрилансера на эту работу, не хочется лапши на уши

Елена: все логи в /var/log
если есть деньги обращайтесь.

ProFTP 1.3.4a-5+deb7u2

Елена: ставьте новый сервер, переливайте все сайты заново (не из тех бэкапов, которые имеются).
У всего интернета был свободный доступ к любым каталогам на сервере, куда имеет доступ пользователь, от которого был запущен proftpd (емнип, пользователь ftp).

Елена: и да, имеют до сих пор, пока proftpd не будет обновлен.

Удачи Вам)

Денис Борисов: Спасибо!