Какие действия предпринять при взломе VPS на Windows\Linux?

В данной статье мы коснемся темы, которая знакома, возможно, каждому пользователю компьютера, а именно – безопасность эксплуатации серверов, расположенных на VPS-хостингах.

К сожалению, бывает такое, что пользователь может вложить достаточно большие средства в создание и развитие виртуального проекта, его размещение и отладку на виртуальном выделенном сервере. Но, в какой-то момент перед вами появляется следующая ситуация – отведенное вами устройство подверглось взлому. От таких моментов никто не защищен, поэтому, отчаиваться не стоит, так как причины взлома бывают разные.

Но, перед тем, как пытаться предпринять какие-либо меры над восстановлением сервера, нужно рассмотреть признаки взлома.

Какие признаки говорят, что VPS-сервер взломан?

1. Плохая работа или блокировка VDS-сервера;
2. Нет возможности воспользоваться или получить доступ к root или правам пользователя;
3. Трафик на сервере значительно увеличивается;
4. На VDS присутствуют следы наличия рассылки спама;
5. Странная активность на VPS-сервере. На этом пункте стоит задержаться, так как неестественная активность является частой причиной взлома. К подозрительной активности можно отнести рассылку email во время вашего отсутствия или передача данных по сетевому протоколу, который вполне может управлять системой.

К причинам также можно отнести странную скорость работы интернет-соединения или рост трафика.

Основанием того, что к вашему серверу кто-то посторонний получил доступ, может оказаться:

1. Несоответствующая форма ПО VDS-сервера;
2. Ненадежные пароли или утерянные пароли для root-доступа;
3. Отсутствие обновления программного обеспечения;

Что делать при взломе?

1. Проверьте сайт на наличие уязвимостей и вирусов. Очень важно в работе с серверами – постоянно обновлять скрипты сайта и пакеты. Следите за производительностью и логом файлов vds-сервера;
2. Посмотрите, какие последние файлы были изменены.
3. Проверьте почтовую очередь на наличие спама. Чтобы найти скрипт, который выполняет рассылку – вбейте в строке поиска команду X-PHP-Script;
4. Во временных и загрузочных директориях проверьте файлы. Часто, скрипты, которые не должны допускаться до временных папок и являются источником проблемы;
5. Проверка наличия шеллов. Если вы найдете коды – сразу же удаляйте их.
6. Проверьте – обновлено ли программное обеспечение.

Проблема – найдена. Так как же восстановить работоспособность vds-сервера?

Бывает, достаточно всего лишь перезапустить систему, но это не всегда работает. Если вы смогли найти точную проблему, то воспользуйтесь следующими шагами:

1. Поставьте ограничения отдельным IP к панели;
2. В Файрвол закройте панели, в которых вы не нуждаетесь;
3. Запустите обновление SSH-ключей и паролей;
4. Проведите обновление программного обеспечения;
5. Избавьтесь от неизвестных скриптов.

Также, важно соблюдать некоторые рекомендации, которые помогут защитить сервер от взлома:

1. Необходимо иметь постоянно создаваемые копии файлов;
2. Адреса обращения к файлам необходимо изменять;
3. Доступ к серверу должен быть разрешен только с вашего IP;
4. Совершайте апдейты скриптов после обновлений;
5. Периодически меняйте пароли и используйте нестандартные логины;
6. Используйте официальные ресурсы. Особенно, когда загружаете необходимое программное обеспечение;

Взломщики достаточно профессиональны в плане захватов чужих серверов. Поэтому, необходимо очень серьезно относиться к безопасности vds-серверов. Все, что написано выше, поможет вам избежать взлома и защитить собственный сервер.