Як дізнатися, що ваш сайт зламаний
У більшості випадків власник сайту дізнається про його злом тільки після того, як отримує від хостинг-провайдера повідомлення про те, що сайт виробляє спам-розсилку або бере участь в DDoS атаці. До цього часу знайти точки входу шкідливого ПО практично неможливо. Зловмисник не відразу запускає його на зараженій «машині» і спеціально робить свою «брудну справу» з максимально відкладеним терміном.
Підозрою на зараження сайту можуть служити:
Зрозуміло, зараження сайту впливає і на пошукову видачу.
Давайте спробуємо розібратися з зазначеними вище ознаками.
1. Підвищене навантаження на VPS або на віртуальну майданчик.
2. Поява частих помилок або повідомлень про недостатність ресурсів.
Ми свідомо згрупували дані ознаки. Якщо ваш сайт став споживати більше ресурсів, ніж зазвичай - це привід перевірити його на шкідливу активність. Наприклад, якщо на віртуальному майданчику або VPS різко зросло навантаження на процесор і трафік, то найімовірніше працює скрипт DDoS, який створює з'єднання з віддаленим сервером. Якщо різко зросло споживання оперативної пам'яті (ОЗУ), то варто подивитися інформацію про споживання ресурсів. Перевірку можна виконати за допомогою команд в SSH: ps aux або top. Якщо це процеси httpd / apache, то необхідно подивитися, що це за процеси і з чим вони працюють. Їх можна перевірити командою lsof -p «PID» (без лапок). PID, можна отримати в команді ps aux або top.
В результаті виконання команд ми отримаємо директорію, звідки завантажувався скрипт.
Все, що нам буде потрібно - видалити шкідливий файл. Якщо знайдений файл є файлом CMS або є підозри, що його видалення позначиться на роботі CMS, найкраще перед його видаленням проконсультуватися з фахівцями.
3. Велика поштова чергу вихідних листів.
5. Підозрілі сторінки в пошуковій видачі.
6. Редірект сайту / мобільний редирект
Даний вид злому найбільш поширений. Як правило, власник взагалі не помічає редиректу, так як він націлений на певний тип клієнтів. У файл .htaccess. або в файл, який відповідає за роутинг сторінок CMS, додається шкідливий код, який переводить певного клієнта на певну сторінку. Сервер завжди бачить, хто до нього підключається. Наприклад клієнт, який використовує мобільний пристрій Samsung. Файл .htaccess (для прикладу) має певний код, який визначає користувача з пристроєм Samsung і перенаправляє такого користувача на іншу сторінку. Таким чином, ви втрачаєте свого клієнта, який, до того ж, тепер може заразитися сам, через сторінку, на яку стався редирект.
Визначити з якого мобільного пристрою прийшов клієнт не так вже й складно:
Файл же буде містити ось такий код:
Як правило, такі сторінки присутні на зламаній CMS в декількох примірниках.
Їх потрібно знайти і видалити. Дані дії краще доручити професіоналам, так як редирект може бути вбудований в код системи управління контентом. В цьому випадку, видаливши щось не те, існує ймовірність отримати повністю неробочий сайт.
Hoster.ru вже кілька років робить видалення шкідливого коду і база Webshell сформована за цей час величезна. З кожним оновленням CMS вразливостей стає менше, однак за час життя такого поновлення вони знову з'являються і відкриваються зловмисниками. Оновлюйте вашу CMS регулярно - поки це кращий спосіб захисту.