Первое время всё это было слишком хитроумно запрятано, создавались каталоги типо «sitemap» и «websitemap», хитроумно потому что думал, что эти каталоги создавались моей CMS, но я ошибался.
Самый пик наглости злоумышленника был, когда на хостинге появился каталог c0nflg1, ну т.е. даже сомневающиеся увидев такое прозреют и поймут что что-то пошло не так.
Увидев такие расклады я, конечно же, поудалял всё, что мне казалось ненужным в текущей ситуации, каково же было моё удивление, когда на следующее утро каталог c0nflg1 снова донимал меня своим присутствием на том же месте.
Я обращаюсь за помощью к технической поддержке хостинг-компании, как Вы скорей всего догадались – они мне помогать особо не стали. Предоставили FTP-лог, из которого я понял, что по FTP кроме меня никто не подключался, на этом их помощь закончилась.
Стало ясно, что проблема в файлах на хостинге.
Первое на что обращу внимание, это на три правила безопасности, которые нужно соблюдать в обязательном порядке:
устанавливать последние обновления CMS (если таковые имеются);
изменить стандартный адрес админки;
не сохранять пароли в файловом менеджере, с которого подключаетесь по FTP.
Однако, даже соблюдая все эти правила, Вы всё равно не застрахованы от подобных неприятностей, хоть и сократите возможности их появления, причём в разы.
Так же не стоит забывать о защите самого компьютера, с которого выходите в сеть интернет. Если по какой-то причине у Вас нет возможности иметь постоянную защиту антивирусом, то делайте хотя бы проверки бесплатными версиями, такими как:
Нужно помнить и о защите самого компьютера, с которого выходите в сеть интернет. Если по какой-то причине у Вас нет возможности иметь постоянную защиту антивирусом, то делайте хотя бы проверки бесплатными версиями, такими как:
Но вот враг на пороге и что делать? Есть вариант загрузки резервной копии, но Вы вот можете гарантировать, что вирус появился только сегодня и что его не будет в тех самых резервных копиях? Когда я удалял каталоги, которые были созданы вирусами, они датировались год-два назад.
В целом – сам мой сайт заражён не был, были заражены «созданные альтернативные страницы», для чего именно они использовались мне неведомо – я знаю точно, что на моём сайте они не нужны.
Так что пришлось «оперировать на живом», т.е. искать заражённые файлы. В этом вопросе мне очень помогла утилита:
Сканер AI-BOLIT для Windows 7,8,10;
Как она действует, сначала скачиваете посредством FTP – файловую систему Вашего сайта. После чего скачиваете архив со сканером и распаковываете его, далее копируете файловую систему в каталог «site» и после запускаете start.bat.
Далее следуете инструкциям в отчёте программы. Так же отмечу, что если Вам страшно удалять какие-либо файлы, просто переименуйте их – добавьте единичку, например: было index.php, стало index1.php – если на работоспособности сайта никак не отразилось можно смело удалять. На самый крайний случай вы можете сохранить резервные файлы, главное не запускать их потом на интерпритаторе виртуального сервера или чего ещё хуже на удалённом хостинге.
После удаления всех уязвимых файлов, каталог c0nflg1 появляться перестал.
