Я получил сообщение о приостановленном сайте, который я должен отладить, как мне продолжить?
Возможный дубликат:
Мой сервер был взломан АВАРИЙНЫЙ
Хостинговая компания предоставила электронное письмо своему клиенту, и клиент попросил меня помочь. сообщение гласит:
Any items listed here which are folders
named with 5 to 7 random letters are are likely FTP account hacks
Checking for known bad files
/home2/1/public_html/images/sm6ay7.php
/home2/1/public_html/images/sm5ak0.php
Checking for known spam scripts
/home2/1/public_html/images/sm6ay7.php
/home2/1/public_html/images/sm5ak0.php
/home2/1/public_html/images/rssok4.php
These files are suspicious and should be looked at before deleting
The redirects in these files may not be legitimate.
Often the actual file name will give you an idea if it is legit or not.
If any .htaccess files are listed here, they need to be cleaned.
TimThumb fixes
Thumbs DB fixes
Completed
------------------------
Trackback
------------------------
These results are likely valid files
that have had code added to them so they should be cleaned
rather than removed:
------------------------
.htaccess
------------------------
------------------------
General
------------------------
Started at: Sun Jul 15 15:55:04 MDT 2012
/home2/1/public_html/images/sm6ay7.php
/home2/1/public_html/images/sm5ak0.php
/home2/1/public_html/images/rssok4.php
Completed at: Sun Jul 15 15:55:05 MDT 2012
------------------------
Phish
------------------------
Started at: Sun Jul 15 15:55:05 MDT 2012
Completed at: Sun Jul 15 15:55:05 MDT 2012
------------------------
Base64
------------------------
код выглядит так в файлах, упомянутых выше. Что делают эти строки кодов, я не могу сказать. Не программист. Поскольку файлы находятся в папке с изображениями, кажется подозрительным. посмотрел, но я не уверен, что у меня есть WP в качестве CMS.
У меня есть доступ к панели управления веб-сайта, я пытался, чтобы SSH не смог, возможно, есть какие-то конфигурации в панели управления, с которыми мне нужно иметь дело, основная проблема - спам в нем, для SSH я буду управлять некоторыми кстати смотря на конфиг. файлы.
Настройки конфигурации.htaccess.
IndexIgnore .htaccess */.??* *~ *# */HEADER* */README* */_vti*
<Limit GET POST>
order deny,allow
deny from all
allow from all
</Limit>
<Limit PUT DELETE>
order deny,allow
deny from all
</Limit>
AuthUserFile /home/1/public_html/_vti_pvt/service.pwd
AuthGroupFile /home/1/public_html/_vti_pvt/service.grp
Я новичок в этом, некоторая помощь будет оценена. об идентификации и правилах превью.
2 ответа
Указанный вами файл определенно является удаленным почтовым ботом. Я быстро отформатировал его, и он собирает письмо и отправляет его, используя mail(), Я не смотрел в деталях, как это работает, но общая идея довольно очевидна. Интересно, что он показал синтаксическую ошибку для меня, так что, возможно, он не работал никогда.
Вам нужно почистить сервер. Я бы порекомендовал вам сделать резервную копию, а затем удалить все файлы и установить любой CMS, который они используют с нуля. Вероятно, вы можете безопасно хранить базу данных, она может быть повреждена, но по крайней мере не должно быть никакого кода, выполняемого оттуда. Вам также необходимо восстановить папку с изображениями. Если файлов всего несколько, восстановите те, которые на самом деле являются изображениями (попробуйте открыть их). Очевидно, не восстанавливайте никакие скрипты (заканчивающиеся на.php, .pl, .py, .sh, ...) или исполняемые файлы (без окончания, .exe, .cmd, bat, ...). Обязательно смените все пароли и убедитесь, что они хороши.
Вы также должны прочитать о безопасности с конкретным программным обеспечением, которое они используют. Дыра, вероятно, все еще существует, и ее необходимо устранить, прежде чем любой шанс избавиться от вирусов будет иметь успех.
Я рекомендую взять все со стороны хостера, скопировать файлы /dump db, затем удалить все и сообщить хостеру, что вы очистили учетную запись, так что вы будете безнаказанными. Далее я бы порекомендовал сбросить все пароли на более безопасные мин. 20 символов случайного числа из этого массива: A-Za-z!@#$%^&*(),./ . Далее, если вы используете WP, установите чистый WP и восстановите БД.
Затем тщательно восстановите все, что пропущено, если это не CMS, проверьте каждый файл, используя некоторые инструменты, например, VirusTotal и т. д., если вы увидите, что файл безопасен, загрузите его на хостинг.