Поддержка Проблемы и решения последствия атаки на сайт

  • Уважаемые господа,
    Может быть каким-то образом быть поврежден вордпресс.
    У меня сайт на nic.ru.
    На nic.ru звонил в поддержку по поводу того, что:
    Случилось следующее (2-3 мая): Судя по графикам потребления ресурса сервера на хостинге — Внезапно расход оперативной памяти у нас стал больше — 160 мегабайт, скачком — я подумал, что это из-за видеоплагина, снял плагин, убрал страницу с видеообзором и хоть бы что — расход все равно больше 160 мегабайт (хотя видимо должен был вернуться к прежним значениям).
    На сайт невозможно было зайти — с трудом зашел.
    Тогда я позвонил в службу поддержки на nic.ru = они мне ответили, что это хакерская атака на наш сайт (remont….) и надо сделать с файл xmlrpc.php то-то и то-то (папка док), что я и сделал.
    Но было уже поздно = В этот же день рухнул мой ТИЦ на яндексе (обнулился), а гугл перестал вообще реагировать на мой сайт.
    После этого я доделал сайт до определённого уровня, но результатов никаких по яндексу и гуглу нет положительных. Сайту год. Страниц 55 и в течении недели индексировано: в яндесе 40 (в поиске 25 – как было так и осталось), по гуглу не лучше.
    Т.Е. что хочу сказать – до 2-3 мая в поиске и проиндексированными были все страницы 26 и все были в поиске и были заходы, все фиксировалось метриками, а сейчас непонятное, после атаки везде по нулям.
    Атака, могла повлиять на работу сайта, на порчу вордпресса.
    Все новые страницы и старые – ошибка сканирования 404 (статус -не найдено)
    Атака, могла повлиять на работу сайта, внесение изменений в работу вордпресс, индексирование страниц, исключение их из поиска гуглом?
    Как быть?
    http://remont-otdelka-lux.ru/

Просмотр 15 ответов — с 16 по 30 (всего 52)
  • Yui,
    может мне сайт перенести куда то — и этих вещей не будет?

    Модератор Yui

    (@fierevere)

    永子

    такие вещи есть везде и у всех, это реалии современного интернета
    возможен вариант хостинга с более адекватной техподдержкой и возможностями защиты от атак, а также «лимитом перегрузки»
    ежесуточными бэкапами итд итп.

    Но лезть будут, как с попытками подбирать пароль в админку, так и со спамом в комментарии, так и в XML-RPC

    Yui,
    Алгоритм

    1. ПЕРВОЕ ДЕЛАЮ.

    смотрю = access.log
    если атака на сайт все еще продолжается (access.log смотрите)
    — нет
    если кончилась — можно вернуть файл

    2. ДЕЛАЮ
    переименовываю файл назад.
    Только когда — я понял из переписки, что сначала переименовываем, если атака закончилась, а затем все антивирусы и прочее.

    Если атака все ещё идет что мне делать??

    Под атакой два файла xmlrpc.php и htaccess, но смотрю только один – убеждение что атаки нет.

    был — xmlrpc.php (папка док)
    переименовал в — xmlrpc1.php

    3.затем
    проверяем антивирусом яндекса сайт.

    4.Далее
    после ставим iThemes Security

    Yui

    1)
    проверить https://yandex.ru/promo/manul#howtouse
    антивирусом не удалось
    http://remont-otdelka-lux.ru/manul/index.php
    процесс доходит до половины и зависает,
    хостинг перестает отвечать
    судя по нагрузкам на сервер, никакой
    хакерской атаки нет, но просто слабенький хостинг этот антивирус не тянет
    не знаю такое может быть или нет?
    попробуем ночью проверить

    2)
    но похоже все же, что этот хостинг просто не тянет антивирус
    вообще, нужно было изначально идти
    на американский хостинг
    hostgator.com
    говорят что лучший

    Yui,

    1) Посмотрел файл access_log
    Картина маслом конечно, не ожидал, что в интернете такая бурная деятельность…
    Но на систематическое хакерство не похоже…, хотя кто знает, и потом я не знаю на что внимание здесь концентрировать??
    Кое-какие ip из файла пробил в гугле, в основном это боты
    Нет признаков какого-то пристального внимания к сайту с одного адреса – хотя я не спец.
    Есть еще возможность генерировать log-файл функционирования и исполнения операторов php
    на сервере. Это совсем должна быть полная картина.
    Но чтобы читать такой файл нужно быть суперспециалистом, мне бесполезно.

    2) Поставил защитный плагин, как и Вы рекомендовали — iThemes Security

    3) Проверить https://yandex.ru/promo/manul#howtouse антивирусом не удалось
    http://remont-otdelka-lux.ru/manul/index.php
    Процесс доходит до половины и зависает, хостинг перестает отвечать.
    Почему это в голове не укладывается.
    Может все же не совместим с вордпрессом?

    В общем одни вопросы.

    Я не знаю, еще один вопрос по Вашей теме или нет, но может подскажете — «индексация» и «в поиске» = в поиске в 2 раза меньше чем проиндексировано — как это влияет, получается что сайт недоступен на половину, клиент не может нас найти?

    Yui,
    нет у меня уверенности в том что все в порядке, а что смотреть, внимание обратить не знаю.
    Окончательно, как говориться убедиться и каким методом.
    С уважением,
    Андрей

    Модератор Yui

    (@fierevere)

    永子

    процесс доходит до половины и зависает,
    хостинг перестает отвечать
    судя по нагрузкам на сервер, никакой

    можно скачать и проверить файлы антивирусом на своем компьютере
    «несовместимости» скрипта с ВП не существует, он всеяден.
    Виноват хостинг, который ограничивает потребление ресурсов вашим аккаунтом/процессом

    Поставил защитный плагин

    его еще важно настроить, с учетом всех замечаний и ремарок

    Yui,

    Я позвонил на ник ру —
    сказал им: что хостинг, ограничивает потребление ресурсов моим аккаунтом/процессом из-за этого антивирус яндекса не может проверить сайт и виснет на половине процесса.
    они ответили: что не видят никаких превышений потребления ресурсов в данный момент и вчера не было, т.е. когда когда запускал антивирус яндекса, а вот 3 мая было, когда была атака на сайт. И чтобы я им перезвонил и сказал что конкретно им надо сделать (наверное настройки), чтобы я мог запустить антивирус раз сам хочу и они сделают настройки какие я прошу и тогда пожалуйста проверяй.
    Что написать им конкретно — я не знаю.
    Помогите

    Yui,
    есть еще возможность генерировать log-файл
    функционирования и исполнения операторов php
    на сервере. Это совсем полная картина как мне сказали.
    Но чтобы читать такой файл нужно быть суперспециалистом.
    Делать или нет?

    Модератор Yui

    (@fierevere)

    永子

    этот лог делается для отладки, например можно увидеть причину по которой завершает работу яндекс манул, хотя скорее всего или время процессора на скрипт превышено или максимальное время исполнения скрипта

    а флуд анализировать какой смысл? только замедлять работу сайта

    благодарю.
    Сейчас подготовлюсь и буду на ник заход совершать по поводу антивируса — иначе ничего не выяснится и работать далее с мыслями чт-то там на сайте тяжело
    Андрей.

    Yui,
    По совету и участию техподдержки ника установил максимальное процессорное время работы скриптов с 60 до максимального 180 секунд.
    Не помогло — они сказали выслать принт скрин и описать ситуацию — теперь жду ответа

    Yui,
    Написал в тех. поддержку ника, чтобы проверили сайт и проверили почему яндекс вирус не работает- вот ответ- как понимать не знаю:
    «В данном случае рекомендуем Вам произвести выгрузку файлов сайта на локальный компьютер и произвести проверку на нем, либо использовать альтернативное программное обеспечение для проверки файлов на хостинге.»

    Модератор Yui

    (@fierevere)

    永子

    можно скачать и проверить файлы антивирусом на своем компьютере

    я про это уже писала
    скачайте через фтп и проверьте антивирусом на своем компьютере

    Вообще я не совсем понимаю откуда берется уверенность что был взлом или попадание вируса.
    Был флуд ботами, было отключение сайта из за перерасхода ресурсов, возможно еще какой-то сбой… Но прицельно искать вирусы? Почему?

    Yui,

    Прицельно искать вирусы? — все в одно сложилось сайт закончен, осталось только статьи писать и писать — и в этот момент, как назло да и по полной программе.
    О сбое на сервере на нике молчат.
    Мало ли что.

    Раз было и так плохо кончилось для меня, то надо отмести все варианты и начать всю работу заново с учетом всего произошедшего на будущее.

    Да и вообще мне не понятна ситуация — я на ник звоню — говорю что случилось (случайно внимание обратили-поймали момет) — а мне в ответ: идет атака — я им говорю сделайте что то-ответ типа не занимаемся этим, можете файл переименовать и атака прекратится. Защитой не занимаемся.

    Представьте — сечас опять до какого-то тица яндекса доберемся — и по новой откатят — все крах.
    Видимо способов много откатить сайт.
    Я просто так рассуждаю, может не прав.

    После их проверки, сделаю проверку яндексом — придется, только как это на компьютере сделать этой программой.

    И заказал у них последнюю проверку, которую они могут сделать по своей базе это «проверить файлы сайта на подозрительный код».

    Все — больше на нике ничего сделать не могут.

    По поводу того поврежден ли вордпресс атакой (вот что они мне сказали)
    1.
    скачать файлы на свой компьютер и проверить.

    2.
    В модуле PHp можно поставить только 180 секунд.
    И два варианта сервер переводить в ручной режим и все настройки делать самостоятельно или скачать на комп и проверить.

    3.
    на счет вирусной атаки и повреждения вордпресса (т.е. толком ничего мне не сказали) — здесь сложно сказать, смотрели по количеству процессов и если в будущем подобные атаки будут, то они идут обычно из конкретных ip адресов обычно от одного до 10 до 15 уникальных айпи адресов в интернете с которых эта атака осуществляется с помощью стандартного файла atihs (?) можно заблокировать эти адреса не изменяя содержимого сайта (что у них на сайте есть инструкция на сайте есть — пример для блокировки).

    Что если я запрещу в нем некоторые ip это никак не отразится на вордпрессе, на яндексе (его индексации), т.е. если я включу ip в этот список.

    Узнать эти айпи я смогу по файлу аксесс — там будет много одинаковых айпи адресов по обращениям к одной странице или нескольким (в 10 секунд может прийти сразу 10 запросов на одну и туже страницу и так на протяжении часа или двух) не всегда блуждающие айпи, все равно есть какая-то точка выхода именно последний адрес с которого был вход.

    На вопрос могли ли зайти на сайт и повредить ответили, что в вордпрессе есть уязвимости через которые можно доступ получить.

    Как проверить — (копии у меня есть до атаки 3 мая и после — нике за последние 7 дней копии хранятся) повреждений обычных файлов связанных с атакой не видит.

    Но могу запрос дополнительный сделать проверки сайта но подозрительные скрипты (код — по собранным ими скриптам, т.е. проверка типа антивируса), что я и сделал.
    Потом они предоставят список файлов, если будут подозрительные, если не будет, то напишут, что нет таких.

    Как проверить яндексом на компьютере сказали: насколько знает (точно не знает) -если на файлы сайта проверять есть два пути — первый Уточнить у яндекса возможность exe файла, чтобы запустить его на компьютере, если обычный этиэйчпи , то он просто будет открываться, т.е. есть ли возможность проверки на компе без установки дополнительного программного обеспечения.

    Отлавливать их можно если знаю айпи адрес атаки.

    В общем жду от них проверки.
    Затем проверяю на компьютере яндексом.
    Ставлю защиту iThemes Security — и пытаюсь её настроить.
    А дальше смотреть как все работает.

    Из этого вытекает вопрос как защитить вордпресс, может дополнтельно к iThemes Security что-то есть (а то как я буду от атак отбиваться) и все ли они на нике сделали что могли?

    С уважением,
    Андрей

Просмотр 15 ответов — с 16 по 30 (всего 52)
  • Тема «последствия атаки на сайт» закрыта для новых ответов.