Мы получили сообщение от нашего клиента - которому делали сайт лет 5 назад - о том, что ему взломали сайт и написали в мессенджер сообщение: 

 

"Здравствуйте, Ваш сайт взломал - Я.
На Вашем сайте критическая уязвимость, который позволяет получить доступ к серверной части.
Что-бы восстановить работоспособность сайта, узнать уязвимости нужно оплатить маленькую сумму.
А так же, готов предлогать услуги фикса уязвимостей и чёрного SEO.
English4u"

 

Зайдя на свой сайт увидели картинку и текст:
 
"HACKED BY WHOAMINN Что-бы восстановить работоспособность и узнать уязвимости сайта свяжитесь по теллеграму. WHOAMINN "
 

Клиент отказался платить им и попросил нас восстановить сайт и посмотреть и позакрывать дыры с помощью которых им удалось взломать сайт.

Этапы решения проблемы:

1. Зашли на хостинг и посмотрели что все файлы сайта - были удалены и на хостинг они забросили только один файл index.php в котором и реализован шаблон этой главной страницы.

Первое что надо сделать - это проверить  что именно было изменено, все ли файлы есть на хостинге. В нашем случае оказалось - что на хостинге помимо данного сайта были инфицированы еще 7 сайтов. И все сайты абслютно разные: самописные, сайты с простым  HTML-CSS без движка, Сайты с последними версиями опенкарт - тоесть проблема не только с этим сайтом. Файл PHP который был оставлен на хостинге :

 

 

2. Второе что мы сделали - это восстановили файлы сайта и базу данных с резервных копий. Все сайты наших клиентов находятся на самом лучшем на сегодняшний день хостинге Юкрейн. Этот хостинг лучше на наш взгляд чем все остальные так как он по цене дешевле и он очень удобен и у него есть множество функций которые помогают пользователю. Поэтому если Ваш хостинг на Юкрейне - то Вам не стоит переживать, если не на Юкрейне - то узнайте у Вашего Хостинг провайдера - делаются ли автоматические резервные копии. Если да то переходите и восстанавливайте - если нет - то переходите по ссылке Хостинг ukraine.com.ua и переносите Ваш сайт туда.

 

 

3. Если у Вас сайт на CMS - то необходимо поменять пароль к базе данных и переписать его в файле Config.

4. Закрыть доступ по ФТП кроме Ваших IP адресов. Укажите список IP адресов или сетей, для которых разрешен доступ по FTP .

 

 

4. Тоже самое сделать для Базы данных.

 

 

6. Далее необходимо поменять пароль в панель управления сайтом - если у Вас сайт на CMS. Это можно сделать в панели управления сайтом или через базу данных. И самое Важное обратите внимание - сколько там пользователей, все ли те которые создавали Вы или появились левые пользователи.

7. Обновить все необходимые модули, плагины и компоненты до последней версии.

8. Удалите все не нужные расширения.

9. Также мы посмотрели код главной страницы и удалили устаревший код. Например виджеты сторонних сайтов.

10. Обновили версию CMS до максимально возможной ну и расширения.

11. Оновить версию PHP на хостинге в настройках сайта - также до максимально возможной стабильной версии.

 

Посмотреть остальные сайты на хостинге - обновить все и поудалять все левые модули и расширения. Запустить антивирусную проверку на хостинге.

Еще раз - если есть возможность - узнайте какие еще сайты есть на хостинге и проверьте на каких еще сайтах в вашем аккаунте такое наблюдается. Потому как на этом хостинге сразу несколько сайтов заражены. И получается вирус может быть на другом сайте и через него управлять Вашими сайтами на хостинге.

Так что не переживайте -  все проблемы можно решить. Главное вовремя обновляйте Ваш сайт или закажите у нас техническую поддержку сайта и не волнуйтесь - что с сайтом может что-то случиться.

 

В гугле посмотрел есть несколько взломанных сайтов:

 

Также нашел интересную страницу на pastebin - может кому пригодиться:

 

Всем удачи - занимайтесь Вашими сайтами - чтобы не попасться на удочку хакерам. Ну или если у Вас нет времени заниматься своим сайтам - доверьте его нам.