Здравствуйте.
Внезапно заблочили один из сайтов.
Техподдержка хостинга грит, что на главной была надпись Hacked By SA3D HaCk3D, и что-то про тероризьмь, из-за чего сайт и заблочили полностью.
Что это, и с чем его едят? Куда копать, чтобы найти место взлома? В данный момент ни на сайт, ни в админку доступа нет, есть только на хостинг.
Спасибо.
InstantCMS 1.X
#1
11 сентября 2018 в 13:51
#2
11 сентября 2018 в 14:18
Качайте бэкап и проверяете, к примеру скриптом айболит.
#3
11 сентября 2018 в 22:56
+ бекап можно сканировать антивирусами на компьютере.
Сегодня в 06:32
1. Проверьте ваш домашний компьютер на наличие вирусов. Не обязательно бежать в магазин и покупать платный антивирус. Antivira или Comodo.
2. Установите FireWall на ваш локальный компьютер. Использование файрвола намного снижает риск проникновения вредоносной программы на ваш компьютер. Так же мы рекомендуем воспользоваться Comodo бесплатный и один из лучших файрволов, или же Zone Alarm, тоже хорошая но платная альтернатива.
3. Свяжитесь с вашим хостинг провайдером. Взлом мог коснуться не только вашего сайта, особенно, если вы не арендуете свой собственный сервер, а пользуетесь обычным хостингом. Поставте администраторов в известность и попросите провести анализ взлома.
4. Смените все пароли, начиная от паролей к почтовым ящикам и заканчивая паролями к ФТП.
5.Предупредите своих пользователей о том, что сайт был взломан и порекомендуйте им сменить пароли к вашему сайту.
6. Срочно сделайте бэкап всех файлов, что расположены на вашем сервере.
7. Проверьте файл .htaccess на наличие кода. Хакер может использовать этот файл для перенаправления посетителей с вашего ресурса на сайт с установленным вредоносным кодом.
8. Будьте готовы к тому, что придется удалить все файлы с вашего сервера. Установленый код может быть спрятан на столько хорошо, что вам придется удалять все файлы и базу данных со своего сервера. Однако, для того, чтобы восстановить сайт, вам нужен будет бэкап, который должен был быть сделан ранее
9. Сделайте апдейт до самой новой версии вашей CMS.
Так же вам необходимо провести анализ взлома вашего сайта, чтобы узнать об имеющейся у вас в коде уязвимости и закрыть ее как можно скорее. Так же не стоит забывать о том, что очень часто хакеры, получив доступ к вашему ресурсу, предпочитают оставлять пути для последующего взлома вашего ресурса. Выявить такие пути может только высококвалифицированный специалист.
2. Установите FireWall на ваш локальный компьютер. Использование файрвола намного снижает риск проникновения вредоносной программы на ваш компьютер. Так же мы рекомендуем воспользоваться Comodo бесплатный и один из лучших файрволов, или же Zone Alarm, тоже хорошая но платная альтернатива.
3. Свяжитесь с вашим хостинг провайдером. Взлом мог коснуться не только вашего сайта, особенно, если вы не арендуете свой собственный сервер, а пользуетесь обычным хостингом. Поставте администраторов в известность и попросите провести анализ взлома.
4. Смените все пароли, начиная от паролей к почтовым ящикам и заканчивая паролями к ФТП.
5.Предупредите своих пользователей о том, что сайт был взломан и порекомендуйте им сменить пароли к вашему сайту.
6. Срочно сделайте бэкап всех файлов, что расположены на вашем сервере.
7. Проверьте файл .htaccess на наличие кода. Хакер может использовать этот файл для перенаправления посетителей с вашего ресурса на сайт с установленным вредоносным кодом.
8. Будьте готовы к тому, что придется удалить все файлы с вашего сервера. Установленый код может быть спрятан на столько хорошо, что вам придется удалять все файлы и базу данных со своего сервера. Однако, для того, чтобы восстановить сайт, вам нужен будет бэкап, который должен был быть сделан ранее
9. Сделайте апдейт до самой новой версии вашей CMS.
Так же вам необходимо провести анализ взлома вашего сайта, чтобы узнать об имеющейся у вас в коде уязвимости и закрыть ее как можно скорее. Так же не стоит забывать о том, что очень часто хакеры, получив доступ к вашему ресурсу, предпочитают оставлять пути для последующего взлома вашего ресурса. Выявить такие пути может только высококвалифицированный специалист.
Что это, и с чем его едят? Куда копать, чтобы найти место взлома?
Поиск по сайту по запросу "вирус"...
Выбирайте, везде одни и те же советы и рекомендации…
А был бы компонентик для прикручивания облака для размещения на нем контента, системные файлы отдельно на хостинге, можно было бы создавать чаще бэкап и откатить рабочую версию.
+ на 2 версии закрыли уязвимость, сделали возможность что-то с странами делать — при обновлении возникало бы меньше негатива, проблем, обращений и возможно повысило бы популярность cms.
+ на 2 версии закрыли уязвимость, сделали возможность что-то с странами делать — при обновлении возникало бы меньше негатива, проблем, обращений и возможно повысило бы популярность cms.
Делайте так
1. Скачайте файлы сайта на компьютер.
2. Скачайте Айболит скрипт и прогоните файлы его проверкой
3. Если сайт большой размером то разделите на несколько частей и проверьте на virustotal.com
4. Очистите что найдёт скрипт и сервис проверки
5. Залейте файлы на хостинг и попросите включить сайт.
Пункты 2-3-4 делайте очень досконально, проверяя всё, не спешите, лучше два раза перепроверьте. Превентивно, если сомневаетесь залейте движок сверху или удалите старые файлы и залейте движок + компоненты + конфиг обязательно для работы.
1. Скачайте файлы сайта на компьютер.
2. Скачайте Айболит скрипт и прогоните файлы его проверкой
3. Если сайт большой размером то разделите на несколько частей и проверьте на virustotal.com
4. Очистите что найдёт скрипт и сервис проверки
5. Залейте файлы на хостинг и попросите включить сайт.
Пункты 2-3-4 делайте очень досконально, проверяя всё, не спешите, лучше два раза перепроверьте. Превентивно, если сомневаетесь залейте движок сверху или удалите старые файлы и залейте движок + компоненты + конфиг обязательно для работы.
#8
12 сентября 2018 в 11:35
Скачать бэкапы и на копии бэкапа проводить эксперименты.
#9
12 сентября 2018 в 13:54
Похоже ТСа не сильно беспокоит проблема, если он с такой скоростью её решает))…
#10
12 сентября 2018 в 14:39
всем спасибо)))
прогон бэкапа айболитом ничего не дал, равно как и штатными антивирусами хостинга
прошерстил БД по совпадению фразы "Hacked By SA3D" — ничего не нашлось
решать вопрос надо было срочно, поэтому откатился до недельной давности, сейчас вручную манагеры заново вносят все изменения, которые делались за неделю...
ессно, пароли поменял, а версия системы и так 1.10.7, обновляться некуда
проблема вроде бы решена, а вроде и непонятно, в чём она была… буду на досуге ковырять, если что найду — отпишусь
прогон бэкапа айболитом ничего не дал, равно как и штатными антивирусами хостинга
прошерстил БД по совпадению фразы "Hacked By SA3D" — ничего не нашлось
решать вопрос надо было срочно, поэтому откатился до недельной давности, сейчас вручную манагеры заново вносят все изменения, которые делались за неделю...
ессно, пароли поменял, а версия системы и так 1.10.7, обновляться некуда
проблема вроде бы решена, а вроде и непонятно, в чём она была… буду на досуге ковырять, если что найду — отпишусь
#11
12 сентября 2018 в 15:06
Поиск текста в файлах notepad ++
#12
12 сентября 2018 в 17:36
Поиск текста в файлах notepad ++
