Я обнаружил на своем сервере неавторизованный файл, после загрузки его на свой компьютер мой антивирус распознал его как вирус Backdoor:PHP/C99shell.I
Кто-нибудь может посоветовать мне, как отследить взлом и защитить мой сервер?
Спасибо.
C99 - это хорошо известная оболочка PHP, которая дает вам доступ к файлам, интерфейс для выполнения системных команд, автоматические эксплойты для попытки получить root-права на сервере, браузер mysql и т. Д. Он безвреден для вашего компьютера - он влияет только на веб-серверы.
Что касается того, как это происходит, есть несколько способов, которыми вы могли подвергнуться нападению. Наиболее распространенными являются RFI / LFI, хотя оболочки также можно получить с помощью SQL-инъекции, учетных записей администратора на сайте (в зависимости от программного обеспечения) или скомпрометированных данных FTP.
Что же делать дальше - предположим, что все на вашем сайте взломано. Это означает изменение и паролей для cPanel, SQL, FTP. Полностью очистить сайт практически невозможно, особенно без глубокого знания кода и очень высокого уровня навыков программирования.
Если честно, лучше всего удалить ВСЕ с сайта и выполнить восстановление из заведомо исправной резервной копии. Если вы используете стандартное программное обеспечение php, загрузите свежую версию и работайте оттуда. Вы также можете связаться со своим веб-хостингом и узнать, могут ли они помочь с журналами или резервными копиями. Убедитесь, что ваше программное обеспечение полностью обновлено на сайте.
Возможно, на вашем компьютере есть вирус, который добавляет вредоносный код при загрузке файла.
Если бы это был я, я бы сначала посмотрел на обслуживаемые файлы. Если у кого-то есть доступ на запись к вашим веб-файлам, все они будут подозревать - возможно, что любой из существующих сценариев PHP был изменен, чтобы включить другой бэкдор. Вы можете посмотреть время модификации файлов, чтобы увидеть, были ли они недавно изменены, но даже они не заслуживают 100% доверия. Злоумышленники часто используют дефлированные строки, что немного запутывает ситуацию. Из-за этого мне нравится искать любые функции "exec" в сценариях PHP. На самом деле это функция, которую вы можете отключить.
Пройдя через файлы, я должен был убедиться, что новая среда, которую я создаю (потому что я больше не доверяю той, которая получила бэкдор), менее уязвима для таких атак. Во-первых, я бы ограничил доступ для записи на веб-сервере, чтобы пользователь, от имени которого работает служба, не мог создавать файлы. Монтировать каталоги, в которые они должны записывать как noexec и т. Д. Существуют и другие варианты, в зависимости от вашей ОС.
Если вы хотите отследить происхождение бэкдора, вы можете просмотреть свои веб-журналы на предмет первой ссылки на скрипт бэкдора, затем взять IP-адрес, который получил к нему доступ, и посмотреть, к чему еще на вашем сервере они обращались.