Honnan tudod, hogy webhelyét feltörték
A legtöbb esetben a telek tulajdonosa tud a hacker csak miután megkapta a tárhely szolgáltató az üzenetet, hogy a helyszínen teszi spam, vagy részt vesz egy DDoS támadás. Ekkorra találni malware belépési pont szinte lehetetlen. A támadó nem azonnal futtatni a fertőzött „autó”, és konkrétan nem a „piszkos munkát” maximum halasztott időszakban.
Fertőzöttségre gyanús webhely tartalmazza:
Természetesen a fertőzött területeket érinti a keresési eredményeket.
Próbáljuk foglalkozni a fenti tünetek.
1. Fokozott terhelés egy VPS vagy virtuális platform.
2. A megjelenése gyakori hibák vagy értesítést az elégtelen források.
Szándékosan csoportosítottuk ezeket a jeleket. Ha webhelye kezdte fogyasztani több erőforrást, mint általában - ez egy olyan alkalom kipróbálni a rosszindulatú tevékenység. Például, ha egy virtuális platform vagy VPS meredeken emelkedett a processzor terhelését, és a sávszélesség, akkor valószínű, hogy a munka a DDoS script, amely létrehoz egy kapcsolatot egy távoli szerverre. Ha a memória fogyasztás drámaian megnőtt (RAM), akkor az információ erőforrás-felhasználás. A vizsgálatot végre lehet hajtani a parancsokat a SSH: ps aux vagy tetején. Ha ez a folyamat httpd / apache, meg kell látni, hogy milyen folyamatok és min dolgoznak. Ellenőrizni tudja a lsof -p «PID» (idézőjelek nélkül). PID, akkor kap egy csapatban vagy ps aux tetején.
Ennek eredményeként a csapatok szerzünk egy könyvtárat, ahonnan letölthető a forgatókönyvet.
Minden szükségünk lesz - a rosszindulatú fájlt. Ha a fájl található egy CMS fájl, vagy fennáll a gyanú, hogy az eltávolító hatással lesz a CMS működik a legjobban, mielőtt eltávolítaná, hogy konzultáljon szakértőkkel.
3. Legfőképpen kimenő üzeneteket.
5 gyanús oldalakat a keresési eredmények között.
6. átirányítás Honlap / mobil átirányítás
Ez a fajta hackelés leggyakoribb. Általános szabály, hogy a tulajdonos nem vette észre egy átirányítás, mert célja egy bizonyos típusú ügyfél. A .htaccess fájlt. vagy egy fájlba, amely felelős az útvonal CMS oldalak, add rosszindulatú kódot, amely lefordítja egy adott ügyfél egy adott oldalon. A szerver mindig lehet látni, aki csatlakozik hozzá. Például egy ügyfél, aki használja a Samsung mobil eszközön. .htaccess fájlba (pl) van néhány kód, amely azonosítja a felhasználót a Samsung készülék, és átirányítja a felhasználó egy másik oldalra. Így, ha elveszti az ügyfél, ami ráadásul most már tudja fogni magát, át az oldalt, amelyen volt egy átirányítást.
Határozza meg az ügyfél jött egy mobil eszköz nem olyan nehéz:
A fájl tartalmazza ugyanaz itt ilyen kód:
Általában ezek a lapok vannak jelen a fertőzött CMS több példányban.
Meg kell találni, és távolítsa el. Ezek az intézkedések a legjobb a szakemberek, mert az átirányítás lehet ágyazni a kódot a tartalomkezelő rendszerek. Ebben az esetben eltávolítja, hogy valami nincs rendben, akkor lehetséges teljesen nem működő oldalon.
Hoster.ru több éve teszi az eltávolítása rosszindulatú kódok és Webshell bázis alakult ez idő alatt hatalmas. Minden frissítés CMS biztonsági rés kisebb lesz, viszont élettartama során a felújítás, akkor újra és kinyitotta a behatolók. Frissítse CMS rendszeresen - mindaddig, amíg ez a legjobb módszer a védelem.