Последние несколько недель я замечал, что код в моем index.htmls на моем хосте менялся сам. На днях Chrome и Firefox начали перечислять сайты, размещенные на моем сервере, как сайты для атак.
Я почти уверен, что мой компьютер чистый, и я не загружаю вирус по ftp.
Это сценарий где-то на моем сервере, но я понятия не имею, как от него избавиться, любая помощь будет очень признательна.
Здесь это должно помочь вам идентифицировать вирус
Я считаю, что Google предоставляет причину (ы), почему сайт указан как сайт атаки. Однако я не думаю, что они очень подробные (я думаю, они не хотят, чтобы разработчики / поставщики вредоносных программ знали, как они обнаруживают сайты атак), поэтому я бы погрузился в журналы вашего сервера и посмотрел, есть ли какие-либо неизвестные записи или подозрительные узоры.
В качестве альтернативы вы можете использовать diff (или другие инструменты сравнения каталогов / файлов) для сравнения вашей локальной / разрабатываемой копии сайта с тем, что находится на производственном сервере. Это должно показать вам все добавленные файлы или код, которые не были добавлены вами. Система контроля версий также может делать это очень эффективно.
Если вы недостаточно разбираетесь в компьютерах, чтобы выяснить, где находится вредоносная программа (не расстраивайтесь, они специально разработаны, чтобы избежать обнаружения), попробуйте попросить помощи у своего веб-хостинга.
Или, если вы делаете регулярные резервные копии, вы можете просто стереть все и откатить свой сайт до последней известной «чистой» даты (а затем вручную повторно добавить потерянный контент, если необходимо).
Но как только вы все это сделаете, обязательно обновите все свои веб-приложения до последних версий и измените все свои пароли (CMS, ftp, shell, cpanel, даже электронная почта).
Вполне вероятно, что злоумышленник воспользовался уязвимостью в одном из программных пакетов, установленных на вашем сервере. В этом случае ваши возможности довольно ограничены; нет способа очистить ваш сервер и гарантировать, что у злоумышленника нет доступа к бэкдору.
Если это выделенный сервер, которым вы управляете, я бы стер сервер и перезагрузил его.
Если это общий хост, я бы нашел новую хостинговую компанию. Общий хост должен регулярно исправлять установленные пакеты (хотя многие этого не делают).
Некоторое время назад я испытал нечто подобное. По-прежнему не уверен, был ли это я, хозяин или что-то еще. К счастью, проблема больше никогда не повторялась.
Я бы посоветовал связаться с вашим хозяином, чтобы сообщить им, и узнать, могут ли они помочь. При этом убедитесь, что ваш дом в порядке, т.е. убедитесь, что ваш комплект не заражен вирусами / вредоносными программами, измените пароль ftp и убедитесь, что все используемые вами фреймворки / гостевые книги / доски сообщений и т. Д. Полностью обновлены.
Если вы еще этого не сделали - стоит завести аккаунт с инструменты googles для веб-мастеров настроить (это бесплатно) - отсюда вы можете запросить повторное сканирование вашего веб-сайта, когда я это сделал, Google повторно просканировал и удалил черный список в течение 8 часов.
Не нужно протирать, это обычно не так уж сложно исправить, просто требуется время.
Разместите страницу в разработке. Обновите все программное обеспечение с открытым исходным кодом ... вероятно, именно так они и попадают. Не забывайте phpMyAdmin, поскольку он часто используется и редко обновляется. Joomla, PHPbb и Wordpress также являются частыми целями. Затем найдите в нижней части затронутых файлов какой-нибудь сторонний javascript. Очистите это - автоматизируйте удаление этого, если возможно, это вероятно на каждой странице вашего сайта. На всякий случай проверьте, нет ли на сайте закопанных папок, содержащих большое количество странных файлов. Наконец, проверьте свою базу данных, чтобы убедиться, что они ничего не застряли в таблице пользователей, и обновите свои пароли FTP (или, лучше, SCP).
Поднимитесь и внимательно следите за этим. Если они меняются, вы что-то упустили! Вытирайте только в крайнем случае.
Повторяйте за мной ... В следующий раз обновлюсь. Я обновлюсь в следующий раз ....