| Вопрос: |
Здравствуйте!Был взломан сайт *.*, загружено несколько троянских файлов на сервер (активные изменения начались ** декабря ****), модифицированы ранее существовавшие файлы.Почистил трояны, но не могу откатить модифицированные файлы, так как их обфусцировали:*.*bitrix*.phpmirnika.*bitrix*prolog.phpМожете где-то выложить бэкап директории /** (желательно до ** декабря ****) чтобы я смог из него взять оригинальные файлы? |
| Ответ: |
Здравствуйте. Резервная копия файлов есть за **.** |
| Вопрос: |
Давайте так, надеюсь в ней остался оригинал модифицированного файла. Сможете куда-то выложить архив, чтобы я его скачал? |
| Ответ: |
Ожидайте пожалуйста |
| Ответ: |
К сожалению папка самого сайту mirnika - совершенно пуста... |
| Ответ: |
К сожалению папка самого сайту mirnika - совершенно пуста... |
| Ответ: |
Нашли другую копию, но она уже за **.**.** |
| Вопрос: |
сайт *.* работает из главной директории - /** |
| Ответ: |
Да, вот о ней мы Вам и пишем. Данная папка была редактирована **.**.** |
| Вопрос: |
это вероятно руки злоумышленников, поскольку активные изменения были **-** декабря. А какая папка с бэкапом правилась? Почему она не запрещена к изменениям?Аналогично заметил, что лог файл /logs*.*ssl_log*-**** - тоже был исправлен и там первые записи от **/*/****:**:**:**.Каким образом они получили доступ к файлам находящимся на уровень выше, чем сам сайт? |
| Ответ: |
к файлам модно получить доступ загрузив например вебшелл скрипт |
| Ответ: |
Мы Вам сообщаем о том, что резервная копия папки public_html есть за **/**/**. Более ранней копии, к осожалению уже нет. Бекапы инкременталььные, тоесть делаются только тогда когда вносятся изменения на аккаунте пользователя. Соответственно, боюсь, нормального файла уже нет. |
| Вопрос: |
На платной основе можете помочь повысить безопасность сайта? Ведь теперь не исключено, что проблема может повториться.Нужно вычистить сайт от подобных вебшелл скриптов, логи настроить чтобы их нельзя было удалить, бекапы чтобы собирались регулярно. Может вы что-то посоветуете сделать, так как со стороны конкурентов началась активная порча моего сайта. |
| Вопрос: |
И без акцесс логов теперь не понять какая была последовательность действий злоумышленников. Это печально. |
| Ответ: |
логи доступны Вам в панели в меню - метрики |
| Вопрос: |
Здравствуйте!Сегодня в *:** злоумышленниками был перезалит файл public_html*.php как результат - перестал работать основной сайт *.*.У вас есть возможность посмотреть каким образом они это делают?Я вчера чистил заражённые Файлы самостоятельно, но найти вероятный шелл-скрипт не смог. |
| Ответ: |
Здравствуйте. Вы сменяли пароли к биллинга и панели управления? |
| Вопрос: |
Нет |
| Вопрос: |
Вчера, примерно с ** до ** часов по мск я чистил файлы на хостинге. Больше правок не вносил |
| Вопрос: |
В другое время в биллинг и панель управления заходил. |
| Вопрос: |
*не заходил |
| Ответ: |
Извините, но чему Вы удивляетесь? Для начала смените пароль. Используйте генератор типа https://passwordsgenerator.net сгенерируйте пароль не меньше **символов включая доп знаки (*"'@#$_) И только потом редактируйте сайт. если у вас есть подозрения по поводу взломов по IP - вы можете внести их в блок в файл .htaccess с помощью специальных директив |
| Вопрос: |
Сделал как вы сказали, установил пароль на сгенерированный:`**]*"{с установленной галочкой "синхронизировать пароль с панелью". После чего, в панель управления (cPanel) больше не смог войти - появляется ошибка "*login*". При этом в биллинг захожу без проблем. |
| Ответ: |
Выслали на почту новый пароль. Проверьте |
| Вопрос: |
*. Еле зашел в биллинг. На почту вы отправили пароль с двумя обратными слешами, который не работал. Восстановил пароль на почту, там один обратный слеш. Всё ок.*. Сегодня злоумышленниками был залит новый файл на сайт *.*: public_html*bitrix*admin*wp*blognew.phpЕдинственное обращение к нему из веб было с ip:***.***.**.** - - [**/*/****:**:**:** +****] "*bitrix*admin*wp*blognew.php*=****&*=*****.*=***ipourt***************.*" *** * "-" "*/*.* (* *.*; Windows* *.*; ***; */*.*)"По этому ip нахожу первое обращение:***.***.**.** - - [**/*/****:**:**:** +****] "*.php*****_url* **.*" *** ***** "-" "*/*.* (* *.*; Windows* *.*; ***; */*.*)"При этом вызванный файл *.php уже был модифицированным, так как вернул большой размер - *****.Подскажите, есть ли у вас дополнительные сырые логи, по которым можно более глубоко проанализировать, **когда *модифицировал файлы? |
| Ответ: |
Ожидайте, пожалуйста |
| Ответ: |
логов модификации нет, то что вы видите это и есть "сырые логи". можем дополнительно проверить ваш сайт на вирусы |
| Вопрос: |
Здравствуйте!Сегодня снова был модифицирован файл public_html*.php, как результат - сайт *.* не работает. Это уже после смены пароля в биллинг и панель управления.Проверьте, пожалуйста, сайт на вирусы. |
| Ответ: |
Здравствуйте. Ожидайте пож. |
| Ответ: |
Сканирование завершено, отчет в папке public_html |
| Вопрос: |
В папке public_html из свежих файлов - только зараженные php. |
| Ответ: |
Здравствуйте. Пожалуйста, ожидайте... |
| Вопрос: |
Получилось что-то? |
| Ответ: |
Много файлов. До сих пор только **.*% отсканировано. Действительно не нашел Ваш отчет. Так как предыдущий делал друой специалист - запустил новый. Вижу что проблемы есть. Как отчет будет готов я проверю и предоставлю Вам. |
| Вопрос: |
Спасибо большое! |
| Ответ: |
Пока нет за что... |
| Ответ: |
Проверьте, в папкее /public_html - файл AI-BOLIT-REPORT-__-******-**-**-****_**-**.html |
