În cele mai multe cazuri, proprietarul site-ului știu despre hacking lui numai după ce a primit de la furnizorul de găzduire un mesaj care indică faptul că site-ul face spam trimise sau să participe la un atac DDoS. Până în acest moment, pentru a găsi punctul de intrare malware-ului este aproape imposibil. Atacatorul nu-l rula imediat pe infectat „masina“, și în mod specific face „munca murdară“, cu o perioadă de maxim amânat.
Suspectate de a fi infectate site-ului includ:
Desigur, site-urile infectate afectează rezultatele căutării.
Să încercăm să se ocupe cu semnele de mai sus.
1. Creșterea de încărcare pe un VPS sau platformă virtuală.
2. Apariția unor erori sau notificări de resurse insuficiente frecvente.
Intenționat am grupat aceste semne. Dacă site-ul dvs. a început să consume mai multe resurse decât în mod obișnuit - este o ocazie pentru a testa activitatea rău intenționate. De exemplu, în cazul în care o platformă virtuală sau VPS a crescut brusc încărcare a procesorului și lățimea de bandă, este probabil că munca de script DDoS, care creează o conexiune la un server de la distanță. În cazul în care consumul de memorie a crescut în mod dramatic (RAM), ar trebui să vedeți informații cu privire la consumul de resurse. Testul poate fi efectuat utilizând comenzile din SSH: aux ps sau de top. În cazul în care acest proces httpd / apache, aveți nevoie pentru a vedea ce fel de procese și ceea ce ei lucrează. Ei pot verifica în lsof -p «PID» (fără ghilimele). PID, puteți obține într-o echipă sau ps aux sus.
Ca rezultat al echipelor vom primi un director de unde se poate descărca script-ul.
Tot vom avea nevoie - eliminați fișierul rău intenționat. Dacă fișierul găsit este un fișier CMS, sau există suspiciunea că eliminarea acestuia va afecta CMS funcționează cel mai bine înainte de a scoate-l să se consulte cu experți.
3. Cele mai multe dintre toate mesajele e-mail trimise.
5 pagini suspecte în rezultatele căutării.
6. Redirecționarea site / redirecționări mobile
Acest tip de hacking-ul este cel mai frecvent. De regulă, proprietarul nu a observat o redirecționare, deoarece vizează un anumit tip de client. În fișierul .htaccess. sau într-un fișier care este responsabil pentru rutare pagini CMS, adăuga cod rău intenționat, care se traduce într-un anumit client la o anumită pagină. Serverul va vedea întotdeauna cine este conectat la acesta. De exemplu, un client care utilizează un dispozitiv mobil Samsung. fișier .htaccess (de exemplu) are un cod care identifică utilizatorul cu dispozitivul Samsung și redirecționează acel utilizator la o altă pagină. Astfel, ai pierdut clientul dvs., care, de altfel, este acum capabil să se prindă, prin intermediul paginii pe care a existat o redirecționare.
Se determină clientul a venit de la un dispozitiv mobil nu este atât de dificil:
Fișierul va conține același aici astfel de cod:
De obicei, aceste pagini sunt prezente pe CMS compromise în mai multe exemplare.
Ei au nevoie pentru a găsi și elimina. Aceste acțiuni sunt cel mai bine stânga pentru profesioniști, deoarece Redirecționarea poate fi încorporat în codul de sisteme de management al conținutului. În acest caz, eliminând că ceva nu este corect, este posibil să se obțină complet site care nu este de lucru.
Hoster.ru timp de mai mulți ani face ca eliminarea de cod rău intenționat și de bază webshell format în această perioadă este enormă. Cu fiecare actualizare CMS vulnerabilitate devine mai mic, cu toate acestea, în timpul vieții de renovare, acestea reapar și sunt deschise de intruși. Actualizați CMS în mod regulat - atâta timp cât aceasta este cea mai bună metodă de protecție.