Показать статистику
0 голосов
от (2.4тыс. баллов)

Использую Ubuntu на VPS для хостинга небольшого сайта. Недавно получил уведомление от провайдера о том, что на моей VPS идет какая то непонятная активность и что возможно мой сервер взломан. 

Что делать? Какой план действий правильный и что делать нельзя?

  • Каковы первые шаги? Нужно ли немедленно выключить VPS?
  • Как вернуть свой сайт в онлайн, пока все будет выключено? 
  • Как защититься от подобных проблем в будущем?
  • Хотелось бы извлечь урок, что бы в дальнейшем четко знать что нужно делать. 

Хелп.

643 просмотров 1 ответов

1 Ответ

0 голосов
от (17.4тыс. баллов)

Я думаю что единственно правильного алгоритма действий нет, но есть некоторые правила.

  1. Во-первых, никакой паники. Паника - ваш враг.
  2. Если вы знаете какой сервис был взломан - немедленно отключите его. Например, если взломан Apache - погасите его немедленно
  3. Далее. Сделайте бекап. Немедленно. Скопируйте все ценные данные куда то в другое место. Хотя бы локально к себе на лептоп, если проект небольшой
  4. Измените все пароли. Именно ВСЕ. Пароль SSH, пароли на админку, пароли баз данных
  5. Если ваш сервер содержал чьи то данные (например, у вас интернет магазин или что то такое). Немедленно сообщите людям, данные которых могли быть взломаны. Во-первых, это правильный шаг с моральной точки зрения. А во-вторых, так вы обезопасите себя от обвинений в сокрытии угрозы (пускай даже это случилось не по вашей вине).
Не хочу писать много - как говорится, лучше меньше, но по делу. Быть может, остальные участники форума поделятся своми мыслями.
от (2.4тыс. баллов)
0
Спасибо за подробный ответ. Немного погуглив, нашел интересный документ: https://resources.sei.cmu.edu/asset_files/WhitePaper/2000_019_001_496741.pdf
...