Итак, доброго вторника, товарищи!
В выходные у меня не получилось отдохнуть, но время я провел более чем интересно:
В воскресенье я случайно узнал, что один из сайтов нашего клиента не работает и выдает ошибку “Parse error: syntax error, unexpected '<' in…”. Что ж, странно, подумал я, и произвел вскрытие index.php на предмет самовольных нелегальных перемещений строк кода, то, что я увидел, меня не удивило, но расстроило:
вместо волшебного “?>” красуются дурно пахнущие испражнения какого-то бота:
Что ж, яндекс и гугль подсказали мне, что это Мистер Володя Федоров наносит удар и что произошел Массовый взлом и заражение сайтов (внезапно o_O).
И пока на форумах ребята гадали, как же угнали ftp пароли (filezilla? Totalcommander? Прочее?), стало ясно, что заражаются страницы вида index.*, footer.*, header.*, *.htm, *html, а если будет замечен какой-нибудь популярный движок (Joomla, WordPress, phpBB и т.д.), то заражение будет происходить согласно архитектуре самого движка.
Но бот не идеальный и на сайтах с самописным движком и modx портачил index, собственно из-за чего появилась ошибка и он себя раскрыл.
Вернуть основные файлы к жизни очень просто, но что делать, когда зараженных файлов сотни, а сайтов десятки? Выход очевиден:
Заражение началось ночью в воскресение, значит в субботу еще все было в порядке и нужно просто восстановить все из бэкапов и сменить ftp пароли.
Первым делом была проведена разъяснительная работа с компьютерами и сотрудниками о вреде хранения паролей в filezilla, потом были изменены все пароли, и началось самое интересно: восстановление.
Так как собственных бэкапов у меня дома не было, а разобраться со всем хотелось прямо сейчас, я решил потрясти на эту тема хостеров, и получил следующие результаты:
* Да-да, это он самый.
** Не автоматически по заявке: попросили самому нажать кнопку в панели управления, но я устал ждать, когда же пропадёт проклятое «Идет восстановление» и я смогу заняться делом.
*** Появляется папочка backup в которой будет восстановленная копия.
**** Скидывают в архивах в корневую.
Получился такой вот не запланированный эксперимент.
P.S.: Обновил про AGAVA.net, закралась ошибка во времени отклика на заявку, бэкапы восстанавливают в архивы.
В выходные у меня не получилось отдохнуть, но время я провел более чем интересно:
В воскресенье я случайно узнал, что один из сайтов нашего клиента не работает и выдает ошибку “Parse error: syntax error, unexpected '<' in…”. Что ж, странно, подумал я, и произвел вскрытие index.php на предмет самовольных нелегальных перемещений строк кода, то, что я увидел, меня не удивило, но расстроило:
вместо волшебного “?>” красуются дурно пахнущие испражнения какого-то бота:
Что ж, яндекс и гугль подсказали мне, что это Мистер Володя Федоров наносит удар и что произошел Массовый взлом и заражение сайтов (внезапно o_O).
И пока на форумах ребята гадали, как же угнали ftp пароли (filezilla? Totalcommander? Прочее?), стало ясно, что заражаются страницы вида index.*, footer.*, header.*, *.htm, *html, а если будет замечен какой-нибудь популярный движок (Joomla, WordPress, phpBB и т.д.), то заражение будет происходить согласно архитектуре самого движка.
Но бот не идеальный и на сайтах с самописным движком и modx портачил index, собственно из-за чего появилась ошибка и он себя раскрыл.
Вернуть основные файлы к жизни очень просто, но что делать, когда зараженных файлов сотни, а сайтов десятки? Выход очевиден:
Заражение началось ночью в воскресение, значит в субботу еще все было в порядке и нужно просто восстановить все из бэкапов и сменить ftp пароли.
Первым делом была проведена разъяснительная работа с компьютерами и сотрудниками о вреде хранения паролей в filezilla, потом были изменены все пароли, и началось самое интересно: восстановление.
Так как собственных бэкапов у меня дома не было, а разобраться со всем хотелось прямо сейчас, я решил потрясти на эту тема хостеров, и получил следующие результаты:
| McHost.ru* | HC.ru | Jino.ru | AGAVA.net | |
| Время отклика на заявку: | 1 мин. 15 сек. (Техподдержка онлайн) |
3 ч. 1 мин. (Заявка с сайта) |
1 ч. 23 мин. (Заявка с сайта) |
1 ч. 26 мин. (Заявка с сайта) |
| Время выполнения заявки (от отклика): | 1 ч. 9 мин. | 1 ч. 47 мин. | >> 10 ч.** |
? |
| Автоматическое восстановление: | Да | Нет*** |
Нет*** |
Нет**** |
| Свежайший бэкап за: | Субботу | Субботу | Четверг | Субботу |
| Информирование об окончании восстановления: | Да | Да | Нет | Да |
| Примечание: | Предложили восстановить определенный сайт или переписать весь аккаунт | Рекомендовали ознакомиться с общими требованиями по обеспечению безопасности сайта от взлома и вирусного заражения |
* Да-да, это он самый.
** Не автоматически по заявке: попросили самому нажать кнопку в панели управления, но я устал ждать, когда же пропадёт проклятое «Идет восстановление» и я смогу заняться делом.
*** Появляется папочка backup в которой будет восстановленная копия.
**** Скидывают в архивах в корневую.
Получился такой вот не запланированный эксперимент.
P.S.: Обновил про AGAVA.net, закралась ошибка во времени отклика на заявку, бэкапы восстанавливают в архивы.
