Цитата |
---|
Юрий Шишнин написал: Прошу совета! Как решить проблему окончательно? Куда смотреть? |
* сделать бэкап текущего состояния сайта, скопировать логи для дальнейшего изучения
* удалить сайт по умолчанию в /home/bitrix/www, если он не нужен. Проверить отсутствие установочных скриптов bitrixsetup.php и restore.php
* проверить, нет ли каких-то служб в systemctl или задач в crontab, которые вы не создавали, удалить лишнее и подозрительное
* сменить все пароли - ssh, ftp, все админские учетные записи на сайте
* воспользоваться штатными средствами Проактивная защита
начать с поиска троянов /bitrix/admin/xscan_worker.php?lang=ru
* воспользоваться сторонними средствами ( aibolit и т.п.)
* поискать по файлам вручную (самое быстрое в консоли по ssh), довольно много сингатур публиковались в этой ветке - конкретный пост не подскажу, давненько было дело - нужно искать. Я по ним много раз находил заразу.
* посмотреть агентов - чтобы лишних не было (если зараза в агентах, то смысла в файловой системе искать нет - всё равно будет заново создано)
* так же в памяти не помешает глянуть (или ребутнуть аппача), бывает зараза сидит в памяти и при удалении сама себя сразу же восстанавливает
* добавить код сайта в гит (будете изменения быстро вылавливать, а так же контролировать новые файловые изменения)
* поставить какой нибудь скриптик по отлову изменений (например, при изменении сразу письмо на электронку)
так по горячим следам гораздо проще анализировать логи (например за последние сутки)
* по логам вычислить заразу и прибить
* после чистки - режим наблюдения (скрипт изменений + гит либо просто регулярно git status в ручном режиме)
* регулярное резервное копирование (желательно не сюда же - в облако или стороннее хранилище, при наличии гита можно бэкапить только БД)
как то так ...
P.S.
так же можно обратиться в саппорт Битрикса - есть случаи когда саппорт помогал найти и устранить уязвимость