res2001
Silver Member | Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Smito1
Ломанули вас. Скорее всего взломали через эти же сайты, видимо там есть уязвимости.
Проверяйте все возможные варианты доступа к серверу на предмет безопасности.
Включайте фаервол с блокировкой всего по умолчанию и открытыми нужными портами.
Организуйте доступ по ssh по ключу.
Зараженные сайты упакуйте и заберите для последующего анализа, разверните новые заведомо чистые, конечно, данные нужно будет переносить. Настройте доступы в .htaccess. Проверьте, чтоб веб сервер не работал из-под рута. Отключите не используемые модули апача.
Так же рекомендую внедрить какое-либо средство проверки целостности, типа aide. Смысл такой - расчитываете базу хэшей по всем системным каталогам, не изменяемым файлам сайтов (скрипты и т.п.) + все что сочтете нужным, затем по крону сравниваете текущее состояние системы с расчитанной базой хэшей. База хэшей должна лежать где-нибудь вне сервера с доступом только на чтение, перед проверкой скачиваете базу. Отчет о проверке в почту. Это, конечно, не предотвратит взлом, но зато позволит оперативно узнать о нем.
Полезно проверить из вне доступ к серверу с помощью сетевого сканере (nmap) - узнаете что у вас открыто снаружи. На основании этой проверки откорректировать правила фаервола.
Если к серверу должны иметь удаленный доступ несколько человек, которым не нужны права рута - отберите их, установите необходимы права на файловой системе.
Вообще я бы развернул новый сервер с учетом всего вышесказанного и перенес на него сайты, потому что есть вероятность, что на существующем сумели получить рут доступ и наделать бэкдоров. Это будет быстрее, чем разбираться со старым. Разборки можно отложить на потом.
|
