Воскресенье , 25 Февраль 2018
Home / Vbulletin 4 / Взломали форум — начинаем восстанавливать (Часть 7)
Антивирус часть 7
Антивирус часть 7

Взломали форум — начинаем восстанавливать (Часть 7)

Если есть такая возможность нужно лучше восстанавливать базу данных MySql с проверенной и безошибочной резервной версии. Часть 7. При восстановлении вам может понадобиться пройти все предыдущие части которые тут описаны еще раз. Чтобы проверить, что ваша резервная копия чиста от заражения вам может понадобится повторить все описанные действия в этой статье еще раз. Самый быстрый способ восстановить пароли это использовать SSH на вашем сервере или VPS. Ну и прочтите еще раз все предыдущие части, чтобы посмотреть, не упустили ли вы чего.

Автор: Алексей Раков

Убедитесь, что все аватары и вложения которые хранились в файловой системе, так же имеют свою резервную копию. Проконсультируйтесь с вашим хостером если он восстанавливает вам базу даных, чтобы не забыл восстановитель вложения и атачи. И если уж восстанавливаете, то я бы посоветовал переименовать БД под новым именем, так, чтобы наверняка.

Теперь перейдем к теме этой части. Все ваши файлы, рекомендуется проверять на наличие php back doors и других вредоносных программ. Для серверов на базе Linux, если у вас есть доступ к SSH, я бы рекомендовал использовать нижеследующее сочетание. Опять же повторюсь, вы можете использовать свои антивирусы, я лишь привожу свои примеры.

AVG Anti-Virus free edition for Linux

avg
avg

AVG Anti-Virus free edition for Linux пассивный сканер вирусов и вредоносных программ.

Как установить данный продукт на Centos можно прочитать тут, для других систем, ищите информацию в интернете. Устанавливается он довольно легко. Это пассивный сканер, так как по-умолчанию вариант установки из коробки означает, что вы сами его должны запускать вручную для того чтобы просканировать нужные каталоги.

– Очень быстрая скорость работы (сканирования) по сравнению с другими сканерами обнаружения вирусов, также сканирует электронную почту на предмет вирусов, что многие системы не делают.

– Скорость сканирования 180.000/~ 750 секунд

– С помощью данного сканера наибольшее количество вирусов я нашел в таких скриптах как openx/phpads, wordpress, vbulletin и т.д включает PHP/BackDoors и очень много вирусных черверй (троянов) встроенных в почтовые ящики, то есть FakeAlert и Win32/Cryptor.

Linux Malware Detect

linux-malware-detect
linux-malware-detect

Linux Malware Detect (maldet) Удобен тем, что может работать в автоматическом режиме, ежедневно, в запланированное время через cron и автоматически может обновляться. Возможно для этого вам дополнительно нужно будет настроить файл конфигурации в /usr/local/maldetect/conf.maldet. Ежедневное сканирование можно проводить в Ensim virtual roots или по стандартным путям Linux /home*/user например через Cpanel. По-умолчанию ежедневно сканируются /home*/*/public_html или Ensim /home/virtual/*/fst/var/www/html and /home/virtual/*/fst/home/*/public_html.

– Гораздо медленнее скорость работы чем у AVG Anti-virus, но имеет в своей базе больше вредоносных программ чем AVG.

– Скорость 180.000/~ 24000 секунд

– С помощью данного сканера наибольшее количество вирусов я нашел в таких скриптах как openx/phpads, wordpress, vbulletin и т.д. включает base64.inject.* и php.cmdshell.*.

Установите и настройте его на своем сервере и при проверке вы сразу получите предупреждение, если на вашем сервере есть вредоносная программа. Этот метод не дает 100% гарантии поиска всех вирусов, но как один из вариантов проверки очень подходит, и вы можете просмотреть ваши файлы более внимательно, даже если есть хоть малейшие подозрения.

Ниже представлен пример вывода, где найдены инфекции PHP / BackDoor которые могут потенциально открыть доступ ко всему серверу для взлома. Если вы нашли эти типы файлов, лучшее что можно сделать в данной ситуации, скинуть атомную бомбу на свой сервер :))) то есть переустановить всю вашу ОС и восстановить потом все из чистой резервной копии. Если это невозможно сделать, то после излечения от вирусов, все еще останется вероятность, что ваш форум могут взломть также еще раз. Даже если вы пройдете все части описанные нами.

Вывод AVG после попытки исцелить и очистить инфекции:

Повторное сканирование с AVG после исцеления, отчет не имеет инфекций

Пример вывода сканирования Linux Malware Detect до очистки, в отчете инфекции в Vbulletin файлах со встроенными вирусами php.cmdshell (PHP бэкдор), которые потенциально могут открыть доступ ко всем веб серверу. Для этого клиента я скопировал всю взломанную базу данных и перенес на свой сервер, где и происходило лечение. Вот почему в отчете вам встретятся необычные пути типа /home/nginx/domains/hostname.domain.com/public/

На этом я думаю достаточно, если все описывать более подробно и жизни не хватит. Главное дать толчок, для каких то действий. И дать понять новичкам, что администрирование форума это не такая легкая задача как им кажется.

Рейтинг статьи

0%

Рейтинг

Оцените данный материал!

User Rating: Be the first one !

Автор artscripts

Посмотрите также

Nginx восстановление часть 5

Взломали форум — начинаем восстанавливать (Часть 5)

Теперь для пущей безопасности, мы с вами закроем доступ к нашей папке AdminCP . Для …