Назад | Перейти на главную страницу

Как мне узнать, как хакеры «Pharma Hack» получают доступ к моему сайту?

Один из моих сайтов постоянно подвергался атакам "Pharma Hack", но он использовал Drupal вместо Wordpress или Joomla. Это версия 6, но она обновлена ​​до последней версии, как и все модули, которые я установил.

Я сменил пароли, удалил вредоносные файлы, полностью переделал установку сайта, но каким-то образом они продолжают получать доступ. Этот сайт является некоммерческой организацией и серьезно влияет на наши результаты поиска в Google и т. Д.

Вы не можете доверять ни одной статистике или метрикам, которые вы получаете от самого сервера. Он может иметь руткит (более или менее эвфамизм на основе POSIX для вирус). Если вам абсолютно необходимо проанализировать сервер, вы захотите проанализировать трафик, исходящий от ваших сетевых адаптеров. Используйте порт TAP / mirror и приготовьтесь отсеять кучу мусора. Конечно, на сервере может не быть руткита. Почистить сервер может быть несложно. Конечно, вы можете использовать что-то вроде Руткит-охотник чтобы попытаться исправить ситуацию.

Я повторю еще раз: вы больше никогда не сможете доверять тому, что видите на этом сервере. Вы должны выйти за пределы этого, чтобы узнать, что происходит.

Лучшим вариантом будет сбросить его с орбиты.

Восстановите это. Следите за каждым изменением в файловой системе. Узнать о растяжка. Inotify тоже.

Прочтите эту ветку ServerFault "Мой сервер был взломан в АВАРИИ. "Дважды. Вот и все.