Как восстановить взломанный сайт

В этом руководстве объясняется, как защитить свой веб-сайт после взлома и как предотвратить атаки в будущем.

Определение причины

Первым шагом к обеспечению безопасности вашего веб-сайта и возвращению к нормальной работе является определение того, как он был взломан. Как правило, большинство взломов происходит по одной из следующих причин:

• Ваш пароль FTP/SSH был скомпрометирован.
• Права доступа к файлам или каталогам в каталоге httpdocs слишком либеральны.
• На вашем веб-сайте установлено программное приложение, содержащее уязвимость. Уязвимость используется для запуска произвольного кода на сервере.

Взлом программных уязвимостей встречается чаще, чем взлом паролей FTP/SSH, в первую очередь из-за огромного роста числа готовых программных приложений. Пользователи часто настраивают приложение, а затем забывают установить обновления безопасности, что делает их сайты уязвимыми для атак.

Точно так же, если для файла или каталога в каталоге httpdocs установлены разрешения 777 (полный доступ), код или данные могут быть раскрыты и потенциально использованы злоумышленником.

Поиск скомпрометированных паролей FTP/SSH

Сначала вы должны попытаться определить, не взломал ли кто-то ваш пароль и не вошел ли он в вашу учетную запись. Для этого выполните следующие действия:

1. Войдите в свою учетную запись, используя SSH.
2. В командной строке введите следующую команду:

   history

   Эта команда отображает последние 1000 команд, запущенных для учетной записи, а также время их выполнения. Просмотрите последние записи в списке на наличие команд, которые кажутся подозрительными или которые вы не вводили.

   Этот метод не является на 100% надежным, поскольку история команд может быть изменена или подделана злоумышленником.
3. В командной строке введите следующую команду:

   cat ~/.lastlogin

   Эта команда отображает IP-адрес последнего пользователя, вошедшего в вашу учетную запись cPanel. Эта информация также доступна на главном экране cPanel.

   Чтобы узнать свой собственный IP-адрес, посетите http://ipfinder.us.
   Возможно, вам знакома последняя команда, которая отображает список всех пользователей, вошедших на сервер. Однако из соображений безопасности последняя команда недоступна на новых общих серверах Gohost.kz.

Если вы подозреваете или определили, что неавторизованный пользователь получает доступ к вашей учетной записи:

• Немедленно измените пароль своей учетной записи в cPanel.
• Прекратите использовать FTP. Обычный FTP передает ваш пароль через Интернет в незашифрованном виде и легко перехватывается. Вместо этого используйте SFTP или SSH.
• Убедитесь, что на всех компьютерах, которые вы использовали для доступа к своей учетной записи, установлена ​​современная защита от вирусов и вредоносных программ.

В противном случае, если вы не обнаружили подозрительного поведения, переходите к следующему разделу.

Ищем уязвимости в ПО

Устаревшие программные приложения часто содержат хорошо известные уязвимости в системе безопасности, которые злоумышленники могут использовать с помощью автоматизированных сценариев. Программные приложения включают все, что вы установили с помощью Softaculous, а также любые пакеты, которые вы установили вручную. Обычно это такие приложения, как блоги, галереи изображений, форумы, корзины покупок, системы управления контентом и т. д.

Вам следует просмотреть все программные приложения, установленные на вашем веб-сайте. Убедитесь, что вы установили самую последнюю версию и все обновления. Когда вы обновляете программные приложения, убедитесь, что вы также проверяете плагины. Если у вас установлены какие-либо нестандартные плагины с вашими приложениями, выполните поиск в Интернете по имени плагина и термину «уязвимость», чтобы узнать, есть ли какие-либо известные проблемы с вашей версией. Если вы обнаружите какие-либо известные уязвимости, либо обновите плагин, либо отключите его.

Вы также должны проверить последние ошибки на своем веб-сайте, используя функцию журнала ошибок cPanel. Сообщения об ошибках могут помочь вам определить, какие программные приложения или файлы уязвимы. Для получения дополнительной информации о том, как получить доступ к журналу ошибок в cPanel.

После того, как вы обновите свои программные приложения и плагины.

Уборка после взлома

После того, как вы обезопасили свой веб-сайт, следующим шагом будет устранение беспорядка, оставленного злоумышленниками, и восстановление нормальной работы.

Остановка вредоносных процессов

Первый шаг в процессе очистки — убедиться, что в вашей учетной записи все еще не запущены вредоносные процессы. В противном случае вы можете пройти все следующие шаги очистки, и эти процессы просто снова нанесут ущерб.

Чтобы просмотреть пользовательские процессы, запущенные в вашей учетной записи, выполните следующие действия:

1. Войдите в свою учетную запись, используя SSH.
2. В командной строке введите следующую команду:

   ps faux

3. Изучите список запущенных процессов и найдите что-нибудь подозрительное. Если вы видите подозрительный процесс, запишите номер идентификатора процесса (PID).

   Поскольку вы сами запустили команду ps на шаге 2, это не вредоносный процесс, и его нельзя прерывать! Например:

   USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND

   имя пользователя 2847697 0.0 0.0 108504 1900 pts/2 Ss 16:37 0:00 -bash имя пользователя 2885143 0.0 0.0 109960 1016 pts/2 R+ 16:44 0:00 \_ ps faux

   Эти два процесса являются нормальным

4. Чтобы убить любые обнаруженные подозрительные процессы, введите следующую команду для каждого процесса. Заменятьидентификатор_процессас идентификатором процесса (PID), который вы отметили на шаге 3:

kill process_id

Удаление взломанных файлов

Вы должны просмотреть все файлы в своей учетной записи и удалить все, что вы туда не поместили. Если вы используете FTP-клиент, убедитесь, что он настроен на отображение скрытых файлов. Точно так же, если вы используете командную строку в SSH, убедитесь, что вы используете опцию -a с командой ls, чтобы она отображала все файлы. (Многие вредоносные файлы пытаются «спрятаться» от случайного наблюдения, делая себя скрытыми.)

Хотя мы рекомендуем просмотреть все ваши файлы, вы можете расставить приоритеты в поиске. Сначала найдите временные метки модификации файлов, которые изменились с момента последнего изменения вашего сайта или произошли во время взлома. Если вы обнаружите файл, который был изменен во время взлома (например, испорченная индексная страница), вы сможете найти другие затронутые файлы, выполнив поиск по аналогичным меткам времени.

Например, чтобы найти все файлы, которые были изменены в вашем каталоге httpdocs за последние три дня, выполните следующие действия:

1. Войдите в свою учетную запись, используя SSH.
2. В командной строке введите следующие команды:

   cd ~/httpdocs find
   
3. . -mtime -3
4. Вы можете изменить параметр -3, чтобы контролировать, сколько дней назад команда find будет искать измененные файлы. Например, чтобы найти пять дней назад вместо трех, используйте -5.

Установка правильных прав доступа к файлам

По умолчанию для каждого каталога в каталоге httpdocs права доступа к файлам должны быть установлены на 755 (полный доступ для владельца и доступ для чтения и выполнения для всех остальных). Кроме того, для каждого файла должны быть установлены права доступа 644 (доступ на чтение и запись для владельца и доступ на чтение для всех остальных). Чтобы установить эти разрешения для своей учетной записи, выполните следующие действия:

1. Войдите в свою учетную запись, используя SSH.
2. В командной строке введите следующие команды:

   cd ~/httpdocs
   find . -type d -exec chmod 755 {} \;
   find . -type f -exec chmod 644 {} \;

   После внесения этих изменений вам может потребоваться настроить разрешения для нескольких отдельных файлов в зависимости от установленных приложений. Тем не менее, рекомендуется сначала установить безопасные разрешения, а затем вносить любые индивидуальные корректировки по мере необходимости.

Восстановление баз данных

Некоторые взломы, особенно атаки с внедрением SQL-кода на уязвимые Joomla! установки могут изменить базу данных с помощью вредоносного кода. Эти модификации могут предоставить злоумышленнику доступ к вашей учетной записи даже после того, как вы обновите приложения и удалите измененные файлы.

Поэтому вам следует просмотреть свои базы данных, чтобы увидеть, есть ли какие-либо подозрительные изменения. Вы также можете восстановить базу данных из резервной копии, созданной до атаки. Если вам нужна дополнительная помощь, отправьте запрос в службу поддержки нашей команде гуру на клиентском портале по адресу https://gohost.kz/.

Восстановление потерянных и измененных файлов

Вы можете использовать функцию перемотки сервера в cPanel для восстановления файлов в вашем домашнем каталоге, которые были потеряны или изменены в течение последнего месяца. Дополнительные сведения о том, как использовать функцию перемотки сервера.

Перенастройка WordPress

Если вы используете WordPress, необходимо предпринять дополнительные шаги, чтобы обезопасить свой сайт после атаки. Например, вы должны сбросить ключи безопасности WordPress.

Использование Cloudflare для повышения безопасности

Чтобы предотвратить будущие атаки, вам следует рассмотреть возможность включения Cloudflare для своей учетной записи.

Cloudflare — это сервис сети доставки контента (CDN). Сеть Cloudflare блокирует угрозы и ограничивает количество вредоносных ботов до того, как они достигнут веб-сервера. Это повышает безопасность и снижает потери полосы пропускания.

Вы можете зарегистрироваться прямо на сайте Cloudflare по адресу http://www.cloudflare.com.

Дополнительная информация

Дополнительные рекомендации о том, что делать в случае взлома вашего веб-сайта, см. на странице http://googlewebmastercentral.blogspot.com/2008/04/my-sites-been-hacked-now-what.html.