Что делать если взломали сайт?
Мы получили сообщение от нашего клиента – которому делали сайт лет 5 назад – о том, что ему взломали сайт и написали в мессенджер сообщение:
“Здравствуйте, Ваш сайт взломал – Я.
На Вашем сайте критическая уязвимость, который позволяет получить доступ к серверной части.
Что-бы восстановить работоспособность сайта, узнать уязвимости нужно оплатить маленькую сумму.
А так же, готов предлогать услуги фикса уязвимостей и чёрного SEO.
English4u”
“HACKED BY WHOAMINN Что-бы восстановить работоспособность
Зайдя на свой сайт увидели картинку и текст:
и узнать уязвимости сайта свяжитесь по теллеграму. WHOAMINN “
Клиент отказался платить им и попросил нас восстановить сайт и посмотреть и позакрывать дыры с помощью которых им удалось взломать сайт.
Этапы решения проблемы:
1. Зашли на хостинг и посмотрели что все файлы сайта – были удалены и на хостинг они забросили только один файл index.php в котором и реализован шаблон этой главной страницы.
Первое что надо сделать – это проверить что именно было изменено, все ли файлы есть на хостинге. В нашем случае оказалось – что на хостинге помимо данного сайта были инфицированы еще 7 сайтов. И все сайты абслютно разные: самописные, сайты с простым HTML-CSS без движка, Сайты с последними версиями опенкарт – тоесть проблема не только с этим сайтом. Файл PHP который был оставлен на хостинге :
2. Второе что мы сделали – это восстановили файлы сайта и базу данных с резервных копий. Все сайты наших клиентов находятся на самом лучшем на сегодняшний день хостинге Юкрейн. Этот хостинг лучше на наш взгляд чем все остальные так как он по цене дешевле и он очень удобен и у него есть множество функций которые помогают пользователю. Поэтому если Ваш хостинг на Юкрейне – то Вам не стоит переживать, если не на Юкрейне – то узнайте у Вашего Хостинг провайдера – делаются ли автоматические резервные копии. Если да то переходите и восстанавливайте – если нет – то переходите по ссылке Хостинг ukraine.com.ua и переносите Ваш сайт туда.
3. Если у Вас сайт на CMS – то необходимо поменять пароль к базе данных и переписать его в файле Config.
4. Закрыть доступ по ФТП кроме Ваших IP адресов. Укажите список IP адресов или сетей, для которых разрешен доступ по FTP
4. Тоже самое сделать для Базы данных.
6. Далее необходимо поменять пароль в панель управления сайтом – если у Вас сайт на CMS. Это можно сделать в панели управления сайтом или через базу данных. И самое Важное обратите внимание – сколько там пользователей, все ли те которые создавали Вы или появились левые пользователи.
7. Обновить все необходимые модули, плагины и компоненты до последней версии.
8. Удалите все не нужные расширения.
9. Также мы посмотрели код главной страницы и удалили устаревший код. Например виджеты сторонних сайтов.
10. Обновили версию CMS до максимально возможной ну и расширения.
11. Оновить версию PHP на хостинге в настройках сайта – также до максимально возможной стабильной версии.
Посмотреть остальные сайты на хостинге – обновить все и поудалять все левые модули и расширения. Запустить антивирусную проверку на хостинге.
Еще раз – если есть возможность – узнайте какие еще сайты есть на хостинге и проверьте на каких еще сайтах в вашем аккаунте такое наблюдается. Потому как на этом хостинге сразу несколько сайтов заражены. И получается вирус может быть на другом сайте и через него управлять Вашими сайтами на хостинге.
Так что не переживайте – все проблемы можно решить. Главное вовремя обновляйте Ваш сайт или закажите у нас техническую поддержку сайта и не волнуйтесь – что с сайтом может что-то случиться.
В гугле посмотрел есть несколько взломанных сайтов:
Также нашел интересную страницу на pastebin – может кому пригодиться:
Всем удачи – занимайтесь Вашими сайтами – чтобы не попасться на удочку хакерам. Ну или если у Вас нет времени заниматься своим сайтам – доверьте его нам.