Удаление вирусов: код приходит снова и снова

У тебя большие проблемы. Кто-то, очевидно, атаковал ваш сайт и нашел способ выполнить произвольный (PHP) код. В зависимости от того, что еще делает их внедренный код, весь ваш сервер может быть взломан. В зависимости от ваших методов обеспечения безопасности / осведомленности (вероятно, не слишком хороших, учитывая, что вы должны спросить), другие системы также могут быть скомпрометированы с информацией, полученной с вашего скомпрометированного веб-сервера. Это вещи, которые нужно учитывать, не обязательно в таком порядке, и этот список ни в коем случае не является исчерпывающим.

1. Переведите свой веб-сервер в автономный режим. Делайте это, даже если вы не делаете ничего другого, и сделайте это первым. Это делается для защиты невинных людей, которые спотыкаются на вашем сайте: возможно, вся цель внедренного кода — атаковать их обслуживая вредоносное ПО. Сообщите своим пользователям, что этот сайт подвергся атаке, и их информация может быть скомпрометирована также по другому каналу, если это возможно (например, по электронной почте).
2. kill все длительные процессы PHP / процессы веб-сервера. (kill -9 для упрямых.)
3. Удалите включаемый файл (не код, выполняющий include_once()).
4. Удалить введенный код. (код делает include_once())
5. Выясните, как код был внедрен в ваш PHP-скрипт.
6. Исправьте эти проблемы.
7. Убедитесь, что у атакующего нет других способов вернуться и сделать то же самое, как, например, учетные записи пользователей с доступом к оболочке, которых там быть не должно …
8. Проверьте еще раз, убедитесь, что вы не разрешаете выполнять файлы, загруженные пользователями вашего сайта, например (если вы сделали плохие вещи, такие как chmod 777 вот наверное поэтому).
9. Проверьте еще раз, злоумышленник мог просто сделать что-то вроде замены двоичных файлов в вашей системе на версии с резервным копированием. Или загрузил другие двоичные файлы и выполнил их. Или вредоносное ПО с вашего скомпрометированного сайта для ваших пользователей.
10. Убедитесь, что злоумышленник не расшифровал вещи, как вы знаете, получите свои учетные данные для входа в админ-панели вашего хостинг-провайдера, учетные записи оболочки, электронную почту, доступ с правами root, или ваши резервные копии, репозитории исходного кода … Они могут иметь вмешиваться в другие вещи, о которых вы в данный момент не знаете или можете просто вернуться и использовать инструменты администратора, чтобы впоследствии отменить свою тяжелую работу.
11. Сделайте полный анализ первопричин того, что именно произошло, когда это произошло, как это произошло и что произошло потом. Это для вас, чтобы узнать, как совершенствоваться как системный администратор, потенциально избежать его повторения в будущем, но, скорее всего, помочь вам обнаружить и предупредить вас о признаках повторения этого события. Sysadmin — это работа 24×7, в основном по той причине: когда вы все настраиваете, вы не можете просто расслабиться и двигаться дальше.
12. Оповестите вашего хостинг-провайдера, попросите его также изучить его.
13. Может быть, все, что считается полной очисткой и переустановкой вашей ОС, уделяя более пристальное внимание безопасности во время настройки, может оказаться подходящим вариантом.
14. Когда вы, наконец, очиститесь и восстановитесь, снова включите ваш сайт из заведомо исправной / чистой резервной копии.

Это может быть еще хуже. Когда дело доходит до плохой практики безопасности, вы вряд ли будете одиноки / первыми. Может оказаться, что вы были скомпрометированы не из-за собственных ошибок, а из-за плохой безопасности со стороны вашего хостинг-провайдера (например, эти приятные и удобные админ-панели также содержат ошибки безопасности). Но, как дела обстоят, предположим, что это вы запутались, и продолжайте осторожно оттуда.