Здравствуйте
Схватил вирус
Нужно вылечить как можно быстрее, почистив хост
1000 р сегодня, лучше быстрее))
Здравствуйте, Михаил Иванович !
Меня зовут Александр Азаров, я
Заместитель руководителя службы технической поддержки компании Teli!
Прежде всего, я хотел бы лично поблагодарить Вас за выбор нашей компании.
Данное письмо было направлено Вам мною в связи с тем, что службой системного администрирования нашей компании было зафиксировано грубое нарушение условий договора по Вашему аккаунту – "12235.aqq.ru", с которого была произведена массовая рассылка однотипных сообщений, которая была квалифицирована как спам (
Установлено, что все рассылки осуществлялись через PHP скрипты с Вашего аккаунта.
Поскольку в строках присутствует Ваш логин и локальный протокол, это означает, что для отправки была использована не SMTP-авторизация, как это делают почтовые клиенты, а непосредственно сам аккаунт, т.е. скрипты запущенные с аккаунта и содержащие различные почтовые вызовы mail(), /usr/bin/sendmail и т.п.
Как обычно такое происходит:
В большинстве случаев это взлом через уязвимость в веб-движке, когда боты в автоматическом режиме сканируют движки на наличие известных им уязвимостей и при их наличии, сразу же внедряют вредоносный код или размещают свои копии, после чего запускают сами себя уже с Вашего аккаунта. Далее происходит рассылка спама или иные вредоносные действия типа поиск других уязвимостей на других сайтах, различного рода атаки с использованием уже Вашего домена, размещение поддельных страниц платежных систем и т.п. Если Вы используете такие движки как
WordPress, Joomla – то как правило проблема в них, т.к. в данных движках дыры находят едва ли не каждую неделю.
Что делать:
1. Необходимо очистить аккаунт – для этого нужно провести полный аудит файлов на аккаунте проверив их исходный код, лучше всего для подобных работ обратится к вашему веб-программисту (или нанять такового), т.к. лазейки могут встраивать в нормальные файлы, а так же размещать свои копии в папки соседних сайтов и если их не найти, то все повторится. Как вариант, можно восстановить весь аккаунт из резервной копии (если таковая имеется и данные в ней не заражены). Особое внимание стоит обратить н наличие скрытых файлов, в ОС Linux это файлы
начинающиеся с символа "." точки, пример такого штатного файла – .htaccess, далеко не все ftp клиенты по умолчанию показывают в своих списках такие файлы, так же при работе через файловый менеджер cPanel следует ставить галочку "показывать скрытые файлы".
2. Сразу же обновить веб-движок (множество взломов идут через WordPress/Joomla плагины и их темы, например:
). В ряде случаев лучше пересоздать аккаунт удалив все данные на нем и установить движок по новой, после чего наполнить его контентом из резервной копии. В идеале вообще отказаться от использования данных движков в силу их многолетних проблем с безопасностью.
3. Сменить все пароли доступа, включая ftp-логины, а так же пароли пользователей MySQL, т.к. они могли быть считаны из файлов конфигураций движков и в дальнейшем могут быть использованы для различных SQL-инъекций и повторного взлома.
Общие рекомендации:
– завести систему контроля версий, для файлов Вашего сайта и регулярно сравнивать изменения в файлах сайта.
– следить за рассылками безопасности от разработчиков и проводить обновление движка сразу же после его выхода
– регулярно изучать журналы доступа на предмет наличия вредоносных действий (бывает на раннем этапе можно обнаружить попытки подбора паролей и т.п.)
– регулярно делать резервную копию сайта, которую хранить у себя и обязательно проверять её локальным антивирусам (новейшие антивирусные продукты могут находит текстовые ссылки вирусы и другой вредоносный код в скриптах)
– защищать/прятать админку, например переименованием скрипта логина или установкой дополнительного пароля средствами веб-сервера (mod_access) на всю папку, конкретная реализация зависит