Быстрый фикс взломанного сайта

[dimafeng]

если залили шелл, то сразу же слили всю базу. Метаться поздно.

[Kupyc]

Не факт, инфицирование могло быть произведено ботом. Разумеется, будет пауза между заражением и началом использования.

[dimafeng]

Не думаю что человек узнает о взломе раньше, чем тот, кто оповестится ботом

[ebogdanov]

Если уже слили базу — с этим ничего не поделаешь.
Здесь же стоит задача временно закрыть дырку чтобы хост не использовался, скажем для рассылки спама или участия в DDOSах.

[librarian]

Может mod_security лучше? Ну и на предмет дырок в коде надо поглядеть, конечно.

[ebogdanov]

Да, конечно никто не отменяет всех этих действий, а наоборот лучше их сделать.
В моем случае ситуация была следующей: Знакомый сказал что его сайт заблокировали на хостинге.
Начал разбираться почему — смотрю, есть файлы, их куча и много. А сайт запустят только если, я дам гарантию того что после включения аккаунта нагрузка не будет такой высокой.
Я быстро прописываю эти строчки в .htaccess, письмо администрации с кратким описанием проблемы.
В итоге: сайт работает, вредоносный код обезврежен, можно начать ковырять дальше, т.е. откуда он взялся и как сделать так чтобы его дальше не было.

[ijin]

Нда… вот поэтому я боюсь публичных движков. Способ рабочий, но честно, я бы всё равно жутко параноил после такой вот штуки с проектом за который я отвечаю.

[ebogdanov]

Да, публичные движки = публичные баги. :)
Но, я понял одно, — люди их любят не за баги, а за низкую точка входа, а только потом уже думают о безопасности.
Что ни говорите а разработка мощного движка с нуля — стоит хороших денег. :)

[ijin]

Да, конечно. Иногда безусловно важнее экономия средств и скорость. А говорить что это «плохо» или «опасно»… это другое. Другие цели, средства.

[Floyd]

Какие версии подвержены уязвимости?