⏪ Вернуться к gemlog

2022-01-27

Виртуальные серверы – это виртуальные машины (ВМ), которые работают на основе виртуализированного оборудования. Как правило, в качестве операционной системы на виртуальных серверах используются дистрибутивы Linux. Вы можете использовать свои виртуальные серверы отдельно, а можете собрать их в более крупную облачную инфраструктуру.

В этом руководстве мы поговорим о том, что нужно делать, если ваш облачный сервер взломали и использовали для флуда или DDoS-атак.

Как узнать, что ваш сервер взломали?

Большинство облачных хостинг-провайдеров сообщают своим клиентам о подобных ситуациях через службу поддержки или безопасности.

Если вы получили такое сообщение, значит, провайдер заметил, что ваш сервер отправляет необычно большой объем трафика. Как правило, это и указывает на то, что сервер взломали и кто-то использует его для рассылки спама или вредоносного трафика.

Чтобы защитить других клиентов, облачный провайдер может отключить вашему серверу доступ к интернету, а вам предоставят консоль восстановления.

Что делать дальше?

Рекомендуем заранее составить план восстановления контента, чтобы в случае взлома вы могли быстро вернуть его в сеть и решить проблемы с безопасностью.

Конечно, настройка каждого виртуального сервера уникальна, однако общие рекомендации по восстановлению все же существуют. В большинстве случаев вам следует выполнить следующие шаги

Восстановите контент

Во-первых, вам нужно получить доступ к вашему серверу через консоль восстановления. Для этого понадобится root пароль. Если у вас его нет, обратитесь в службу поддержки вашего хостинг-провайдера за дополнительными советами.

Получив доступ к своему серверу, вы можете восстановить контент. Разные хостинг-провайдеры делают это по-разному.

Создайте новый сервер

В большинстве случаев лучше сразу перейти на свежий сервер, который никогда не взламывали. Создайте новый сервер согласно инструкциям вашего хостинг-провайдера, а затем защитите его и разверните на нем свой сайт.

Чтобы новый сервер не постигла участь его предшественника, рекомендуем соблюдать передовые методы безопасности, а именно:

Отключить root-доступ к серверу.

Настроить аутентификацию по SSH-ключам.

Регулярно обновлять программное обеспечение.

Использовать надежные пароли.

Поддерживать как можно более строгие и ограничительные настройки брандмауэра.

Делайте резервные копии.

После того как ваш новый сервер будет защищен, необходимо развернуть на нем свой сайт. Здесь не можем ничего посоветовать – установка и настройка каждого сайта уникальны. Единственное, о чем нужно помнить всем владельцам сайтов: устанавливая программное обеспечение и загружая контент, выполняйте быструю проверку безопасности на каждом этапе.

Вот еще несколько дополнительных рекомендаций, о которых следует помнить:

Используйте последние версии программного обеспечения.

Запускайте приложения от имени пользователей с пониженными привилегиями.

По возможности используйте сертификаты и ключи.

Никогда не устанавливайте привилегии 777

Удалите установочные файлы.

И снова – используйте надежные пароли.

Проанализируйте взломанный сервер

Теперь, когда ваш сайт снова в сети, можно выдохнуть и разобраться, что именно пошло не так в первый раз. Для этого нужно просмотреть процессы и файлы старого сервера. Во время этой проверки вы можете найти доказательства наличия вирусов на вашем старом сервере.

Если на этом этапе вы обнаружите что-нибудь подозрительное, что может привести к взлому вашего нового сервера, примите превентивные меры, чтобы проблема не повторилась.

Начнем с проверки процессов.

Войдя на взломанный сервер через консоль, используйте одну из нижеприведенных команд, чтобы запросить список запущенных процессов и проверить его на наличие вредоносных.

Эта команда (если она установлена) показывает программы, которые открывают сетевой сокет:

Эта команда выводит список запущенных процессов:

Если вывод этих команд слишком большой, перенаправьте его в less:

На этом этапе вы можете обнаружить один или два подозрительных процесса, которые нужно проверить. Запишите ID каждого такого процесса (ID представляет собой строку чисел).

Затем нужно поискать вредоносные файлы в вашей системе.

Вы можете использовать эту команду, чтобы найти исполняемый файл, который стал источником определенного процесса.

> Примечание: Замените process_id идентификатором вашего процесса (PID), который вы узнали ранее.

Вы можете повторить эту команду для всех подозрительных процессов, которые заметили ранее.

Также вы можете поискать подозрительные файлы самостоятельно. Распространенные места, в которых скрываются вирусы:

/boot

/tmp

/run

/root

Вы можете использовать эту команду, чтобы вывести список содержимого определенного каталога (включая скрытые файлы).

Вышеприведенная команда выведет список всего, что хранится в /boot.

Обнаружив что-то постороннее на своем старом сервере, проверьте права собственности на файлы, чтобы узнать, какой системный пользователь стал посредником для установки вредоносного кода. Просмотрите свои логи, чтобы выяснить, как был установлен код – эта информация пригодится вам, чтобы вы могли предотвратить взлом сервера в будущем.

Если вам нужен совет, обратитесь в службу поддержки и предоставьте ей данные, с которыми вам нужна помощь. Лучше всего сделать скриншот консоли с данными, в которых вы сомневаетесь, загрузить скрины в службу обмена файлами (imgur, dropbox и т.п.) и добавить URL-адрес в ваш тикет.

Эти программы также могут помочь:

rkhunter

chkrootkit

maldet

clamscan

Если вы ничего не можете найти, сообщите об этом в службу поддержки и попросите их помощи.

Заключение

Теперь вы знаете, как действовать в случае если ваш сервер взломали и использовали для флуда. Кроме того, вы можете отследить любые вредоносные процессы и удалить файлы.

Дважды проверьте свой новый сервер и убедитесь, что не скопировали со старого сервера ничего подозрительного. Если вы определили пользователя или программу, которая была взломана в первый раз, примите дополнительные меры для защиты этого пользователя или программы на новом сервере.

Безопасность очень важна, и особенно важно заранее все спланировать. Резервное копирование значительно упростит процесс восстановления, если ваш сервер снова взломают в будущем. Мы рекомендуем ознакомиться со стратегиями резервного копирования и выбрать ту, которая подходит именно вам.