Strona zgłoszona jako dokonująca ataków

Cześć,

Przykra sprawa - dwie moje strony, które mam na jednej usłudze hostingowej w home.pl wyświetlają komunikat Strona zgłoszona jako dokonująca ataków.

Nie dostałem jeszcze maila od administratora z informacją o plikach. Chciałbym sam przeskanować katalogi i usunąć ewentualny problem. Jak to najlepiej zrobić?

Rozumiem, że kiedy już usunę niepożądane pliki powinienem zgłosić prośbę do google o weryfikację stron? Będę wdzięczny za wasze porady.

Pozdrawiam,

Grzesiek

 

ja mam skrypt, który raz dziennie przeszukuje wszystkie katalogi i raportuje zmiany jakie zostały wykryte na plikach (zmiana daty, rozmiaru, usunięcie czy dodanie pliku). Raz mój pracodawca zaliczył włamanie poprzez niezabezpieczony formularz i do plików były doklejane jakieś skrypty.

Nie mając takiego mechanizmu, zrób kopię logów serwera. Następnie sprawdź logi serwer FTP i WWW (ktoś się logował, jakie pliki modyfikował). Kilka grepów rzuci CI światło na to co się działo. Jak ustalisz datę "włamania" to możesz dane IP poszukać w logach WWW. Może wyjdzie że jakiś formularz masz niezabezpieczony.
Takie proste operacje na początek.

Jeśli Twoje dochodzenie nic nie da, to możesz prosić adminów. Zdaje się, że oni widzą logi na dłuższym odcinku czasu.

 

Czesc!
Przede wszystkim daj info jaka to strona (jesli mozesz[nawet na priv])), na jakiej usludze postawiona (dedyk, wspoldzielony...) i czy to czasami nie "znany CMS" (edit).
Jesli współdzielony, to "ratuj resztę" !

 

@servicepl powiesz mi jakie znaczenie mają odpowiedzi na Twoje pytania?

w czym to pomoże?

a jest różnica w opisywanym przypadku?

znany czy nie znany nie ma znaczenia. Udało się komuś wejść. Nawet najlepsi mają problemy, więc nie doszukuj się na siłę bo nie o to tu chodzi.

Z tego co pisze @gregre jest już po incydencie.więc nie bardzo rozumiem. Może jestem ignorantem...

PS. napisz jeszcze jak ma ratować resztę

 

Myślę, że na tym forum udziela się pomocy w takich przypadkach. Im więcej wiesz, tym mniej gaf strzelisz.

Nie jestem z tych którzy radzą: odpuść, wyczyść, jak masz kopie to odtwórz i chyba nie o to tutaj chodzi...

 

samo określanie zmian w plikach nic nie da, są skrypty które maskują swoją obecność tak bardzo, że łatwo je pominąć, nawet daty plików i wielkości są idealne, trzeba by było sprawdzać zawartość, a to już poważniejsza sprawa.
Strony na darmowych cmsach aby mieć pewność trzeba przejść ręcznie.
Dodatkowo, wszelkie skrypty aktualizujemy, dziur jest tak dużo, że nie warto ryzykować.
Dla strategicznych projektów polecam napisać samemu cmsa.
Jeśli nie mamy ustawionej separacji dla domen wtedy dany śmieć może się rozejść głębiej.

 

No dobra Panowie, to co piszecie wydaje mi się nieco bardziej skomplikowane niż myślałem. Mówimy o dwóch stronach na Wordpressie (niestety nie miałem separacji). Mam za to regularnie robione automatyczne backupy. Tak myślę, że może wywalić wszystko z katalogu i wgrać backup sprzed powiedzmy miesiąca, Wtedy strony chodziły fest, a nic na nich w tym czasie nie aktualizowałem. Czy to ma sens. Poprawcie mnie, proszę, jeśli piszę bzdury.

 

zrób inaczej. Jak masz antywirusa to przy pobieraniu strony powinien Ci pokazać które pliki są zainfekowane, ważne abyś zabezpieczył się na przyszłość, jeśli pobierze Ci się wszystko poprawnie to porównaj pliki i sprawdź co jest nie tak.
Po tym wszystkim separacja, przegląd wtyczek, katalogów tmp i sesji i co najważniejsze aktualizacja wszystkiego.

 

Dzięki serdeczne, Panowie!

Oto co zrobiłem:
1. Przerzuciłem wszystkie pliki z serwera na dysk, przeskanowałem i znalazł trojan, którego antywirus usunął. Był w katalogu css, w głównym katalogu public_html (nie w żadnym z katalogów, z plikami dwóch omawianych stron). 2. Podmieniłem plik.
3. Zrobiłem separację wszystkich stron (przekierowanie z ustawieniem separacji serwisu, tak?).
4. Przez panele administracyjne stron sunąłem wszystkie niepotrzebne pluginy i skóry, zaktualizowałem wszystko, co można było zaktualizować.
5. Przeskanowałem urządzenie.
6. Pozmieniałem hasła do wszystkich paneli, poczt no i do panelu home.pl.

@TheL Nie rozumiem tylko: "przegląd (...) katalogów tmp i sesji"

Czy powinienem już zgłosić strony do ponownej weryfikacji Google, czy jeszcze jest coś do zrobienia?

 

Napiszę tylko, że w ramach Profesjonalnych usług IT w home.pl również oferujemy przeskanowanie plików na serwerze w poszukiwaniu wstrzykniętego złośliwego kodu. Więcej informacji tutaj: https://home.pl/uslugiit#manager

W pierwszej kolejności, jeśli pliki zostały zainfekowane niedawno (w ciągu ostatnich 3 dni), to warto spróbować z przywróceniem kopii zapasowej. Jeśli już na to za późno, to należy samodzielnie ręcznie znaleźć ten wstrzyknięty kod (np. skaner antywirusowy, logi systemowe pokazujące zmiany w plikach lub inne podejrzane oznaki). Można też za pomocą Total Commandera (funkcja znajdź tekst w plikach) spróbować znaleźć złośliwe kody i je ręcznie usunąć z plików.

Usuwanie tego wszystkiego ręcznie jest żmudną pracą i wymaga cierpliwości. Po usunięciu, należy oczywiście zmienić wszystkie hasła do FTP (konto główne + wszystkie konta FTP), zaktualizować wszystkie aplikacje na serwerze do najnowszych wersji. Ostatecznością są już próby zainstalowania aplikacji od nowa (np. postawienie WordPressa od nowa) i skorzystanie z danych zapisanych w bazie danych MySQL, aby przywrócić stronę i dodać do niej zawartość z poprzedniej wersji strony.

 

Pisałem o sprawdzeniu zawartości wszelkich katalogów tmp, temp, session, cache itd, bardzo często siedzą tam śmieci które powodują potem zainfekowanie strony ponownie.
Pliki należy po kolei sprawdzić ręcznie, to jedyna pewna opcja.
Druga sprawa, nigdy nie zapamiętujemy haseł w jakichkolwiek panelach admina, programach do ftp itd. Do FTP używamy WinSCP.