Информационная безопасность.

Здравствуйте! на нашем сайте(ах) обнаружены вирусы в разных местах, необходимо найти причину(точки входа, способы входа) устранить причину , а так же удалить вирусы, предоставив максимальную инфу (кто, когда, откуда, зачем , если конечно, такое возможно) по возможности

очень грубый порядок действий по устранению и примерное описание проблемы

1. письмо от хоста

"На вашем аккаунте обнаружены файлы, содержащие вредоносный код.

Используя данное вредоносное программное обеспечение, злоумышленники производят атаки сторонних серверов, рассылку спама и другие вредоносные действия. Файлы, содержащие вредоносный код, были доступны по ссылкам:

______

Мы заблокировали доступ к этим файлам и возможность отправки писем с сервера для вашего аккаунта.

Наиболее вероятно, что присутствие файлов является результатом взлома вашего аккаунта, поэтому с вашей стороны требуется провести аудит безопасности для предупреждения повторения проблемы. О принятых мерах вам необходимо сообщить нам в рамках данного обращения для дальнейшего снятия наложенных санкций. Вам следует понимать, что удаление указанных файлов не является решением проблемы. Вам нужно найти уязвимость, с помощью которой они были внедрены, и устранить ее.

Обратную связь по проблеме вы можете получить в рамках данного обращени

2. порядок действий, необходимых по устранению

Если ваш аккаунт взломан то источников проблем подобного рода может быть несколько, а именно:

1) Уязвимости пользовательского кода:

- устаревшая версия CMS и ее модулей, плагинов, тем, которые содержат ошибки безопасности в коде;

- скрипты, написанные собственноручно или скопированные с других сайтов и содержащие ошибки безопасности.

2) Злоумышленник завладел реквизитами доступа к Панели Управления Аккаунтом(ПУА), FTP-соединения, SSH или административной панели вашей CMS. Это могло произойти по двум причинам:

а) Вирусное программное обеспечение на локальном компьютере;

б) Протоколы передачи данных без использования шифрования.

Примеры протоколов, использующих шифрование: SSH, SFTP, HTTPS.

Статистически, причину проблемы необходимо искать в уязвимости скриптов сайта.

Мы рекомендуем вам обратиться к стороннему специалисту, который сможет провести аудит безопасности скриптов сайта и провести необходимые действия по устранению обнаруженных проблем.

Если по какой-либо причине, вы не можете пригласить стороннего специалиста, то мы предлагаем вам следующий порядок действий (не гарантирует полного решения проблем):

1) Скачать все файлы с сервера, проверить их антивирусом и загрузить обратно;

2) Обновить все пароли панели управления аккаунтом, FTP-пользователей, баз данных и административной части ваших сайтов;

3) Обновить ваши CMS и ее дополнения.

Порядок по борьбе с web-shell-ми и заражениями описан в данной статье:

"http://wiki.linux.ru/wiki/index.php/Ищем_и_лечим_web_shell_на_взломанном_сайте"

После необходимо проверить возникает ли проблема вновь.

Если вы выполнили указанные пункты и проблема все еще имеет место быть, вам следует обратиться к стороннему специалисту по безопасности.

Общие рекомендации по безопасности:

1) Используйте сложные пароли, регулярно меняйте их и не передавайте третьим лицам;

2) Используйте известные и проверенные CMS, которые регулярно обновляются, имеют техническую поддержку и дают гарантии защищённости своих скриптов. То же касается модулей, плагинов, тем оформления и прочих расширений CMS. Многие CMS распространяемые на бесплатной основе не предоставляют данных гарантий;

3) Регулярно сохраняйте резервные копии Вашего сайта и его данных, чтобы иметь возможность выполнить восстановление на некоторое время назад, если взлом не удастся обнаружить сразу;

4) Пользуйтесь протоколами передачи данных, использующими шифрование (например, SSL) для передачи конфиденциальных данных.

Для поиска уязвимости мы можем предоставить вам лог запросов к web-серверу и лог ftp за 14-дневный период.