Взломали сайт и заразили все остальные на хостинге

Началось с того, что пришло уведомление с google консоли о смене владельца сайта, зашел посмотрел действительно закачали файл с подтверждением.


Пересказывать не буду, нашел похожую тему на Wordpress от августа 2018:

Re: Взлом Wordpress
В общем если кому-то все же интересно по теме.
Кроме всего прочего были директории (хорошо запрятанные внутри случайных папок) с названием .X1-unix, где множество файлов (около 4000-6000).

После удаления подобной папки + других файлов типа syssettings.php и т.д. (айболитом нужно сканить, самостоятельно только навскидку можно понять) и вообще абсолютной зачистки дирректорий — в корне стали появляться файлы типа cron.php, install.php, settings.php, sitemap.php, удаляешь один — остальные появляются, и так до бесконечности.

Пошел копать дальше. Также в кроне была задача на запуск бесконечно каких-то процессов. Ее удалил — не помогло. Следовательно, вирь пролез куда-то дальше, чем директории сайтов. Стал копать выше в директорию cpanel и т.д., там вычистил все, что только возможно = ничего не произошло. Т.к. хостинг это обычный, то далее чистить у меня просто нет прав.

Из всего вышеперечисленного следует правило, которое я выработал с этим вирем (до этого всегда помогало просто почистить) для обычного хостинга — полная перезагрузка акка в ноль. То есть, если нет возможности самому пересоздать акк, просим саппорт. И — вуаля, все работает нормально и больше не создаются файлы в директориях. Еще раз просканить айболитом все директории сайтов (даже из бекапа) и потом только заливать.

Физических затрат на бекап после такой ситуации — море. Может товарищи знатоки знают лучшие способы борьбы, но они будут молчать как партизаны, чтобы заказывали их услуги (не дешевые, более, чем уверен) по чистке, а кто-то просто из-за раздутого ЧСВ.

Выводы из всего: не пользуем сомнительные/давно не обновляющиеся плагины для WP, периодически просматриваем не появилось ли чего нового в директориях, вири любят плодиться в директориях кеша и аплоадсов — запрещаем там любые манипуляции и т.д. В общем-то читаем темку прикрепленную и используем рекомендации, но не всегда их можно придерживаться ввиду дороговизны, например. 1 сайт — 1 акк, это достаточно дорогое удовольствие, если у вас например 50 сайтов (у меня около того). В общем, у каждого «своя борьба».
Я стабильно каждые полгода чищу от подобного (этот попался довольно задиристый, гад) независимо от проводимых манипуляций, сейчас еще серьезнее займусь. Но никто не застрахован от того, что вири пролазят на акк и с других акков хостинга. Свой сервак нужно, и отдельный на каждый сайт. Но это лирика.

— Добавлено 05.08.2018 в 15:51 — А, еще забыл добавить из интересного.
Заливаются файлы подтверждения гугл вебмастер в корень и сайты внезапно меняют локацию на «Япония» (у меня было так).
Если не приходит уведомление от гугл вебмастера, рекомендую проверить не изменена ли целевая страна у сайтов, которые могли быть подвергнуты атаке.

Вообщем хотел тем самым предупредить о возможных взломах и обезопасить себя и клиентов.

Сейчас скачиваю бекап хостинга и сканирую Айболитом на компе, после залью обратно посмотрим что будет, хостинг виноват или бреш в каком то сайте.
В дальнейшем беру себе сервер и разделяю аккаунты, чтобы избежать перезаражения сайтов.

Если кто сталкивался с подобным, просьба написать свои пути решения.