«Где-то на сервере внедрился вирус, который по каким-то триггерам или по расписанию cron кладёт то один, то другой сайт, преимущественно на WordPress, но недели 2 назад положил также сайт на NetCat. Сегодня, в частности, лег сайт — ровно по той же схеме, по которой ранее инфицировались другие»
По мотивам запроса от клиентов
Когда даже BitNinja не останавливает атаки — это сигнал: угроза безопасности работает на уровне сервера, а не отдельного сайта. Вирус по расписанию
cron выводит из строя проекты один за другим. Репутация под ударом, клиенты теряют доступ, а хостинг Reg.ru фиксирует аномалии. Мы находим и устраняем заражённые скрипты на уровне сервера. За 24 часа. Фиксированно. Без скрытых доплат.🔍 Симптом: почему сайты «падают» по расписанию
|
Проявление
|
Что происходит на сервере
|
|---|---|
|
Сайты отключаются циклически
|
Malware в
cron запускает скрипт, который блокирует процессы или создаёт нагрузку |
|
Поражаются разные CMS (WordPress, NetCat)
|
Вредоносный код работает на уровне пользователя/сервера, а не внутри одной CMS
|
|
BitNinja не блокирует атаку
|
Угроза маскируется под легитимные задачи или использует доверенные процессы
|
|
Один и тот же сценарий повторения
|
Заражённый скрипт имеет таймер или внешний триггер для активации
|
Важно: если защита уровня хостинга не видит угрозу — значит, malware уже получил достаточные права для обхода стандартных фильтров.
🩺 Диагностика: как мы находим скрытый вирус за 2 часа
На хостинге Reg.ru проводим экспресс-аудит сервера:
✅ Анализируем задачи
✅ Проверяем процессы в реальном времени (
✅ Сканируем общие директории (
✅ Ищем malware в системных файтах:
✅ Проверяем права пользователей и группы: нет ли несанкционированного доступа между аккаунтами
cron (crontab -l, /etc/cron.*) на подозрительные скрипты с php, curl, wget✅ Проверяем процессы в реальном времени (
ps aux, top, htop) на аномальную активность✅ Сканируем общие директории (
/home/*/public_html, /tmp, /var/tmp) на заражённые скрипты✅ Ищем malware в системных файтах:
.bashrc, .profile, systemd-юнитах✅ Проверяем права пользователей и группы: нет ли несанкционированного доступа между аккаунтами
«Когда вирус атакует разные CMS по одному сценарию — это признак компрометации на уровне сервера или пользователя. BitNinja защищает от внешних атак, но не видит угрозу, которая уже внутри и работает от имени легитимного процесса».
— Эксперт по ИБ, 13 лет в расследовании серверных инцидентов
🚀 Готовы остановить вирус и вернуть стабильность?
Не ждите, пока пострадают все проекты на сервере.
Пока угроза безопасности активна, каждый час — риск потери данных, блокировки аккаунта и репутационного ущерба.
Пока угроза безопасности активна, каждый час — риск потери данных, блокировки аккаунта и репутационного ущерба.
Напишите нам → пришлите доступы (SSH/root, логи Reg.ru, список сайтов) → через 2 часа дадим диагноз, за сутки устраним вирус на уровне сервера.
💰 Стоимость: 4500 ₽
⏱️ Срок: 24 часа
🛡️ Гарантия: 30 дней
🔐 Оплата: после подтверждения стабильности
⏱️ Срок: 24 часа
🛡️ Гарантия: 30 дней
🔐 Оплата: после подтверждения стабильности
[🔘 Устранить вирус на сервере]
🛠️ Протокол устранения серверной угрозы
Работаем по алгоритму, а не наугад:
- Изоляция и фиксация состояния
Останавливаем подозрительныеcron-задачи, блокируем исходящие соединения, делаем снимок процессов «до». - Поиск и удаление вредоносного кода
Находим malware в задачах планировщика, системных скриптах, общих библиотеках. Удаляем заражённый скрипт, восстанавливаем оригинальные файлы. - Восстановление работы сайтов
Проверяем запуск WordPress, NetCat и других проектов. Сбрасываем кэш, права доступа, сессии. Возвращаем стабильную работу. - Усиление защиты сервера
- Чистим
cronот несанкционированных задач, настраиваем мониторинг новых - Ограничиваем права пользователей, исключаем доступ между аккаунтами
- Отключаем опасные функции (
exec,shell_exec,proc_open) для веб-пользователей - Настраиваем логирование подозрительных событий и алерты
- Чистим
🎯 Результат: что вы получите за 24 часа
✅ Остановку циклических «падений» сайтов по расписанию
✅ Полное удаление вредоносного кода с уровня сервера
✅ Восстановленную работу WordPress, NetCat и других проектов
✅ Настроенный мониторинг
✅ Прозрачный отчёт: где был вирус, как работал, что устранено
✅ Гарантию 30 дней на отсутствие повторных инцидентов
✅ Полное удаление вредоносного кода с уровня сервера
✅ Восстановленную работу WordPress, NetCat и других проектов
✅ Настроенный мониторинг
cron и процессов для раннего обнаружения угроз✅ Прозрачный отчёт: где был вирус, как работал, что устранено
✅ Гарантию 30 дней на отсутствие повторных инцидентов
⚠️ Верифицированные уязвимости, ведущие к серверной компрометации
Реальные CVE из официальных баз (NVD), которые мы закрываем:
- CVE-2024-38474 (2024) — уязвимость в модуле
mod_proxyApache, позволяет обход ограничений и выполнение произвольных команд на сервере - CVE-2023-4911 (2023) — критическая уязвимость
looney-tunablesв glibc, позволяет эскалацию привилегий через переполнение буфера - CVE-2022-31214 (2022) — уязвимость в
Firejail, позволяет побег из изолированной среды и доступ к файлам сервера - CVE-2023-22809 (2023) — уязвимость в
sudo, позволяет обход ограничений и выполнение команд от имени root
Без закрытия этих векторов даже удаление видимых файлов не гарантирует, что угроза безопасности не вернётся через системные уязвимости.
📋 Чек-лист: признаки серверного вируса
- В
crontabесть задачи сphp,curl,wget, которые вы не создавали? - Процессы
phpзапускаются от имени веб-пользователя с параметрами вроде-c /tmp/...? - Сайты «падают» в одно и то же время или при определённых условиях?
- Файлы в
/tmp,/var/tmpимеют права на выполнение (+x) и странное имя? - BitNinja или другая защита не находит угроз, но проблемы продолжаются?
Если хотя бы на один пункт ответ «да» — нужна диагностика на уровне сервера.