Бесплатно зарегистрируйся и получай уведомления о новых проектах по работе
Поиск и удаление вирусов CMS Bitrix / VPS на Бегет / BitrixVM 7.3.4
k
Заказчик
Отзывы фрилансеров:
+ 59
- 0
Зарегистрирована на сайте 8 лет и 6 месяцев
Исполнитель определен:
Друз Фаруэл
На сайте обнаружилась проблема, сначала пришло письмо с предупреждением:
"Мы заметили подозрительную сетевую активность на вашем сервере, и были вынуждены наложить следующие ограничения:
На исходящий трафик TCP на порты 22 — 22
На исходящий трафик TCP на порты 1 — 65535"
Далее сайт заблокировали, после восстановления через ТП, нагрузка на сервер была в 400% и было сделано следующее:
"На сервере был запущен вирусный процесс, который и создавал нагрузку:
top – 10:31:37 up 37 min, 1 user, load average: 4.94, 4.48, 3.91
Tasks: 149 total, 3 running, 146 sleeping, 0 stopped, 0 zombie
%Cpu(s): 97.0 us, 1.3 sy, 1.6 ni, 0.0 id, 0.0 wa, 0.0 hi, 0.1 si, 0.0 st
KiB Mem : 3879268 total, 116328 free, 3237692 used, 525248 buff/cache
KiB Swap: 0 total, 0 free, 0 used. 312284 avail Mem
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
8400 bitrix 20 0 2441260 2.3g 4 S 387.7 62.0 140:05.36 kswapd0
Также были активны cron-задания на постоянный перезапуск вирусного процесса:
# crontab -u bitrix -l
1 1 */2 * * /home/bitrix/.configrc4/a/upd>/dev/null 2>&1
@reboot /home/bitrix/.configrc4/a/upd>/dev/null 2>&1
5 8 * * 0 /home/bitrix/.configrc4/b/sync>/dev/null 2>&1
@reboot /home/bitrix/.configrc4/b/sync>/dev/null 2>&1
0 0 */3 * * /tmp/.a/.rsync/c/aptitude>/dev/null 2>&1
В данный момент завершил сам процесс и удалил задания на его перезапуск вместе с директориями, указанными в заданиях. После этого нагрузка снизилась."
Необходимо провести аудит безопасности сервера и сайта на предмет наличия вирусов и уязвимостей, через которые вирус смог попасть на сервер.
Пишите если понимаете как решить проблему, сразу пищите стоимость и сроки выполнения.
"Мы заметили подозрительную сетевую активность на вашем сервере, и были вынуждены наложить следующие ограничения:
На исходящий трафик TCP на порты 22 — 22
На исходящий трафик TCP на порты 1 — 65535"
Далее сайт заблокировали, после восстановления через ТП, нагрузка на сервер была в 400% и было сделано следующее:
"На сервере был запущен вирусный процесс, который и создавал нагрузку:
top – 10:31:37 up 37 min, 1 user, load average: 4.94, 4.48, 3.91
Tasks: 149 total, 3 running, 146 sleeping, 0 stopped, 0 zombie
%Cpu(s): 97.0 us, 1.3 sy, 1.6 ni, 0.0 id, 0.0 wa, 0.0 hi, 0.1 si, 0.0 st
KiB Mem : 3879268 total, 116328 free, 3237692 used, 525248 buff/cache
KiB Swap: 0 total, 0 free, 0 used. 312284 avail Mem
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
8400 bitrix 20 0 2441260 2.3g 4 S 387.7 62.0 140:05.36 kswapd0
Также были активны cron-задания на постоянный перезапуск вирусного процесса:
# crontab -u bitrix -l
1 1 */2 * * /home/bitrix/.configrc4/a/upd>/dev/null 2>&1
@reboot /home/bitrix/.configrc4/a/upd>/dev/null 2>&1
5 8 * * 0 /home/bitrix/.configrc4/b/sync>/dev/null 2>&1
@reboot /home/bitrix/.configrc4/b/sync>/dev/null 2>&1
0 0 */3 * * /tmp/.a/.rsync/c/aptitude>/dev/null 2>&1
В данный момент завершил сам процесс и удалил задания на его перезапуск вместе с директориями, указанными в заданиях. После этого нагрузка снизилась."
Необходимо провести аудит безопасности сервера и сайта на предмет наличия вирусов и уязвимостей, через которые вирус смог попасть на сервер.
Пишите если понимаете как решить проблему, сразу пищите стоимость и сроки выполнения.
Разделы:
Опубликован:
16.02.2023 | 11:33 [поднят: 16.02.2023 | 11:33]