Я заметил, что мой один из моих веб-сайтов был взломан сегодня, и я нахожусь в процессе его очистки. Я сделал резервную копию темы, базы данных и удалил все файлы с сервера, но теперь у меня возникла серьезная проблема.
Поскольку эти файлы больше недоступны, веб-сайты, пытающиеся извлечь файл с моего веб-сайта, снова и снова генерируют ошибку в моем файле журнала, что приводит к заполнению квоты дискового пространства за считанные минуты. С чего начать с устранения проблемы такого типа? Я попытался заблокировать неправильный IP-адрес в файле htacces, но, похоже, он работает не так, как я задумал.
[Mon Oct 13 13:24:13 2014] [error] [client 178.151.4.236] File does not exist: /home/youngsco/public_html/index.php, referer: http://www.cardozo.us/
Есть определенные файлы, которые вам нужны, и index.php является основным. Если сайт был взломан, зачем вам удалять файлы и папки?
Вы должны очистить базу данных. Ваш исходный код должен быть в порядке. Вам также следует временно отключить ведение журнала. Не следует использовать .htaccess для ограничения IP-адреса, но делайте это на уровне сервера, чтобы заблокировать IP-адрес хакера или настроить что-то лучшее и более интеллектуальное на стороне сервера. Вы должны использовать что-то вроде брандмауэра Linux, если вы используете Linux, например, IPTABLES.
@ Воздушное печенье: Понятно. у вас был такой тип атаки. Если бы атака оставила случайные файлы и папки, то в этом случае я бы вытер все чисто, чтобы убедиться, что все вышло. Если вы запускаете windows для сервера, я бы запустил какой-нибудь антивирус или Norton, чтобы быть уверенным и безопасным.
Если вы работаете в Linux / UNIX, я бы запустил в каталоге rm -f, избавившись от базы данных.
Чтобы избежать пыльной атаки, в большинстве случаев это произойдет снова, вы должны исследовать IP и заблокировать диапазон; вот что они делают в большинстве случаев.
@Air Biscuit: Если вы находитесь на хосте, который находится на общем хосте в hostgator, я бы отправил им электронное письмо
и дайте им знать о том, что произошло, чтобы они могли обеспечить это на своем конце также на входящем уровне. Это поможет им и вам.
Вы не сможете заблокировать через IP-адреса, потому что шансы на IP-адрес злоумышленника, который, скорее всего, использует ботнет, будут постоянно меняться.
Не уверен насчет дисковой квоты или особенностей вашего хостинга, но ошибки, генерируемые в журнале из-за неправильных URL-адресов, встречаются довольно часто. Идея, что кто-то просто делает это, вызывает у вас проблемы, немного страшно. Это означает, что теперь почти каждый может непрерывно загружать ваш сайт поддельными URL-адресами, и использование вашего диска будет расти.
Я бы напрямую связался с вашим провайдером и увидел, что у них есть другой способ хранения логов, который не влияет на дисковую квоту. Мне кажется странным, что интернет-провайдер в 2014 году сделал бы это. Во всяком случае, по моему опыту, подобные системные журналы доступны для чтения таким пользователям, как вы, но, в конечном счете, глубже в системе. Таким образом, не повлияет на вашу квоту.