Кейсы

Поиск и удаление бекдора на сайте

Задача

Клиент обратился с проблемой внезапного замедления открытия страниц на сайте и общей долгой загрузкой.

Решение

В рамках работы по задаче было сделано:

- Проверены параметры хостинга (свободное место, оперативная память)

- Проанализированы запущенные процессы

Были обнаружены подозрительные процессы, выполняемые на хостинге.
Процессы выполнялись майнером, который использовал ресурсы сайта для своих вычислительных операций, тем самым замедляя работу сайта.

Обнаружено место расположение майнера:
Результат

Процессы выполняемые майнером убрали.
действия:

удален /home/bitrix/www/500.php

удален /home/bitrix/www/.!.php

удален /tmp/.bitrix/

убили процессы, выполняемые майнером:

pkill 26483

pkill 26491

pkill 26492

pkill 26493

pkill 26494

pkill 26809

pkill 26810

pkill 26811

pkill 26812

pkill 26813

pkill 26814

pkill 26481

После сервер был перезагружен и запущен заново.

Данные процессы перестали проявлятся

Также был сменен пароль ssh от bitrix.

После всех действий сайт снова стал работать и открывать страницы с нормальной скоростью.