Удалить вирус который атакует с моего хостинга
Надо удалить вирус которые атакует другие сайты с моего хостинга.
Текст письма от тех поддержки хостинга:
Здравствуйте.
Вас беспокоит Хостинг-Центр. У нас размещается Ваш виртуальный сервер
По всей видимости Ваш хостинг был взломан и с него введётся хакерская атака на
сторонние сервера. Для устранения данной проблемы Вам необходимо обратиться
к Вашему техническому специалисту. Доступ по ftp у Вас имеется на хостинг.
В случае поступления дальнейших жалоб, мы будем вынуждены заблокировать ваш
ресурс.
Ниже привожу письмо с жалобой:
> Dear Ladies and Gentlemen,
>
> there was a Bruteforce attack from your system (IP=91.189.113.196)
> to my server (217.11.206.20).
> "whois" told me that you are the responsible Person for this IP-Address.
>
> Please check this maschine and/or inform your security-officer.
>
> Here I drop you the beginning of my log-file where I found the attack. The
> time information in the logfile is protocoled in local time.
> Local time: Tue, 03 Nov 2009 22:41:01 +0100 CET
> World time: Tue, 03 Nov 2009 21:41:01 +0000 UTC
>
> ---------------- snip ------------------
> Nov 3 20:03:06 mail sshd[991]: Invalid user cristian from 91.189.113.196
> Nov 3 20:03:06 mail sshd[991]: Failed keyboard-interactive/pam for invalid
> user cristian from 91.189.113.196 port 40598 ssh2
> Nov 3 20:42:52 mail sshd[2908]: Invalid user zope from 91.189.113.196
> Nov 3 20:42:52 mail sshd[2908]: Failed keyboard-interactive/pam for invalid
> user zope from 91.189.113.196 port 60304 ssh2
> Nov 3 22:40:36 mail sshd[9800]: Invalid user aramos from 91.189.113.196
> Nov 3 22:40:36 mail sshd[9800]: Failed keyboard-interactive/pam for invalid
> user aramos from 91.189.113.196 port 34971 ssh2
> ---------------- snap ------------------
>
> Please drop me a note after fixing this issue.
>
> Regards
>
> Jörg Wedekind
>
---- End forwarded message ---
Второе письмо хостера:
Скорее всего, заражение произошло по вине вредоносной программы
(вирус/троянская программа). Такая программа, скорее всего, действовала на
одном из Ваших компьютеров, с которых осуществлялся FTP-доступ к Вашему сайту.
Ею были похищены пароли, а с их помощью была произведена хакерская модификация
файлов Вашего сайта.
Ваша схема действий по устранению проблемы такова:
Шаг 1 (это критичный шаг, без него все остальные теряют смысл!)
Выполнить тщательную антивирусную проверку на ВСЕХ машинах, с которых хоть раз
осуществлялся административный доступ к хостингу. Этот шаг, повторим, является
самым важным. Если не произвести данной проверки, вредоносная программа может
обнаружить и похитить новые пароли.
Шаг 2. Сменить пароли от FTP-доступа к сайту самостоятельно из Контрольной
Панели, либо отослать запрос нам, (например, в ответном письме).
Шаг 3. Удалить все вредоносные скрипты/программы с Вашего хостинга.
Пожалуйста, обратите внимание: если для проведения подобных действий Вам не
хватает специальных знаний, то Вам потребуется технический специалист (Ваш
штатный или привлеченный со стороны).