Подскажите, как пофиксить заразу малой кровью? Грузит проц на 75%, забивает диск логами. Вот несколько строк из лога ошибок:
PHP код:
2016/03/02 17:30:28 [crit] 2629#0: *7 connect() to unix:/var/run/php-fpm.www-data.sock failed (2: No such file or directory) while connecting to upstream, client: 95.174.117.169, server: mysite.com, request: "GET /phpmyadmin/ HTTP/1.1", upstream: "fastcgi://unix:/var/run/php-fpm.www-data.sock:", host: "193.124.184.84" 2016/03/02 17:30:29 [crit] 2629#0: *7 connect() to unix:/var/run/php-fpm.www-data.sock failed (2: No such file or directory) while connecting to upstream, client: 95.174.117.169, server: mysite.com, request: "GET /phpmyadmin/phpmyadmin.css.php?server=1&lang=ru&collation_connection=utf8_general_ci&token=8a213573ffc3a74c8076a04961934341&nocache=4342892479ltr HTTP/1.1", upstream: "fastcgi://unix:/var/run/php-fpm.www-data.sock:", host: "193.124.184.84", referrer: "http://193.124.184.84/phpmyadmin/" 2016/03/02 17:30:29 [crit] 2629#0: *14 connect() to unix:/var/run/php-fpm.www-data.sock failed (2: No such file or directory) while connecting to upstream, client: 95.174.117.169, server: mysite.com, request: "GET /phpmyadmin/js/get_scripts.js.php?lang=ru&collation_connection=utf8_general_ci&token=8a213573ffc3a74c8076a04961934341&scripts[]=jquery/jquery-1.8.3.min.js&scripts[]=ajax.js&scripts[]=keyhandler.js&scripts[]=jquery/jquery-ui-1.9.2.custom.min.js&scripts[]=jquery/jquery.sprintf.js&scripts[]=jquery/jquery.cookie.js&scripts[]=jquery/jquery.mousewheel.js&scripts[]=jquery/jquery.event.drag-2.2.js&scripts[]=jquery/jquery-ui-timepicker-addon.js&scripts[]=jquery/jquery.ba-hashchange-1.3.js&scripts[]=jquery/jquery.debounce-1.0.5.js&scripts[]=jquery/jquery.menuResizer-1.0.js&scripts[]=cross_framing_protection.js&scripts[]=rte.js&scripts[]=tracekit/tracekit.js&scripts[]=error_report.js&scripts[]=doclinks.js&scripts[]=functions.js&scripts[]=navigation.js&scripts[]=indexes.js&scripts[]=common.js&scripts[]=codemirror/lib/codemirror.js&scripts[]=codemirror/mode/sql/sql.js&scripts[]=codemirror/addon/runmode/runmode.js HTTP/1.1", upstream: "fastcgi://unix:/var/run/php-fpm.www-data.sock:", host: "193.124.184.84", referrer: "http://193.124.184.84/phpmyadmin/" 2016/03/02 17:30:29 [crit] 2629#0: *13 connect() to unix:/var/run/php-fpm.www-data.sock failed (2: No such file or directory) while connecting to upstream, client: 95.174.117.169, server: mysite.com, request: "GET /phpmyadmin/js/whitelist.php?lang=ru&db=&collation_connection=utf8_general_ci&token=8a213573ffc3a74c8076a04961934341 HTTP/1.1", upstream: "fastcgi://unix:/var/run/php-fpm.www-data.sock:", host: "193.124.184.84", referrer: "http://193.124.184.84/phpmyadmin/"
Движок: wordpress
Сейчас временно лишил домен поддержки PHP, нагрузка сразу упала до почти нуля, хотя на VPS еще несколько сайтов. То есть, нагрузку создает только один сайт.
у вас же есть бекап хотя-бы годичной давности, надеюсь да, в этом случае базу данных не трогаете, сохраняете резервную копию нынешнего состояния сайта, затем удаляете все файлы и заливаете из резервной копии, потом вносите правки в шаблон и доустанавливаете плагины на текущий момент, это будет надежно и малой кровью.
buninsan, я примерно так и думал. Вычистить файлы темы (а они вроде чистые), переустановить движок и плагины, перенастроить все настройки. В этом то и дело, настроек много придется восстанавливать с нуля. Думал, что можно как-то поймать вирусню за хвост.
понимаете в чем дело, вам могли залить какой нибудь файл похожий на ваш, теже недобросовестные хостеры, или попросту ломанули сайт, ну допустим вы вычистите какой-то подозрительный код, но в чистоту всех остальных файлов будет трудно поверить, поэтому даже замена файлов из резервной копии вам не поможет, а поможет тупое удаление всех файлов и залитие из резервной копии, делайте на денвере.
Спасибо, идею я понял. Однако, можно обойтись без денвера. Поменяю сайту домен на test.ru (и пусть хакер шлет свои пакеты на него), законнектюсь с сайтом через файл host, буду на него поглядывать и просто вручную спарсю дизайн и контент на новый сайт, который сделаю на свежем софте. Просто хотелось глянуть на тело вируса, где он сидит.
awmaster08, AI-Bolit - сканер вирусов помочь не смог. Явно на вирус не указал. Сами ребята из этой конторы предложили полечиться у них с гарантией за 4,5 тыс. рублей. Я подумал, что дешевле будет пересобрать сайт с нуля, так как делал его я и особого труда снова его сделать мне не составит. Для этого я решил снова его включить и спарсить html-копию страниц локально себе на комп, чтобы потом спокойно листать и копипастить контент на новый сайт. Включил сайт, но он отказался работать. Видимо вирус таки внес фатальные изменения в файлы сайта. Ну, ничего, подумал я, и восстановил сайт из недельного бэкапа. Сайт заработал. Нагрузку не создает. Вторые сутки - полет нормальный. И я задумался, а где же вирус? Бэкап сайта у меня был в формате *.dar и лежал на яндекс.диске. Возможно именно это стечение обстоятельств и явилось причиной того, что вирус с сайта исчез? Указанный формат архива дает возможность пофайловой индексации содержимого архива, а яндекс.диск оборудован нехилым антивирусом. Совокупность того и другого дало неожиданный результат - яндекс.диск на автомате вылечил бекап моего сайта от вирусов, причем вылечил так, что работоспособность сайта не пострадала. Может быть такое вообще? Проверьте. И пока все побежали проверять мои догадки, расскажу, как я настроил бэкап сайта на яндекс.диск. Для этого я использовал ISP-manager. Заходите на сервер под root и там ищите вот этот пункт:
Там выбираете хранилище для хранения резервных копий "Яндекс.диск". Привязываете его нажатием одной кнопки (нужно согласиться на доступ приложения к вашему яндекс.диску), указываете папку для бэкапа, указываете максимальный размер папки и сохраняете изменения. И все. После сохранения резервных копий, сайты можно будет восстанавливать с них на автомате, как и обычно, двумя кликами.
Последний раз редактировалось SuperMega; 07.03.2016 в 18:18.