Вопрос или проблема
Мой сайт на WordPress был взломан, и я удаляю всё, кроме папки public_html/.well-known/acme-challenge. Когда я её открыл, то нашёл внутри другие папки, которые были изменены вчера, 27 февраля 2024 года.
Я не уверен, нормально ли существование этих папок на сервере или мне тоже стоит их удалить.
Папка .well-known/acme-challenge используется для проверки SSL-сертификатов Let’s Encrypt, но я беспокоюсь, что эти дополнительные папки могут быть вредоносными, так как мой сайт недавно был взломан.
Может кто-то подсказать, ожидаются ли эти дополнительные папки внутри .well-known/acme-challenge или мне стоит их удалить в рамках очистки после инцидента с взломом? Любая помощь будет полезна.
На другом сайте, где у меня также есть папка .well-known, у меня нет других папок внутри, что меня смущает. Я не разбираюсь в этой теме.
Я тоже с этим столкнулся. Сайт, о котором идет речь, хостился одной компанией, в то время как его домен, DNS и SSL управлялись через регистратора. В какой-то момент я решил, чтобы хостинг компания управляла SSL и вскоре заметил ту же структуру папок на сайте. Когда я обратился в службу поддержки хостинг-компании, они заверили меня, что это часть работы системы провайдера сертификатов. Я не притворяюсь, что понимаю это, и могу только сказать, что сайт по-прежнему работает нормально, без странностей в трафике уже два года.
Ответ или решение
Подозрительные папки в .well-known/acme-challenge после инцидента с взломом
Ваш вопрос касается папки .well-known/acme-challenge, которая используется для подтверждения владения доменом при получении SSL-сертификатов от Let’s Encrypt. Мы рассмотрим, являются ли найденные вами дополнительные папки внутри этой директории нормально ожидаемыми элементами, или они представляют собой потенциальную угрозу.
1. Суть проблемы
Вы упомянули, что папка .well-known/acme-challenge была обнаружена на вашем сервере после инцидента с взломом, а в ней появились новые папки, дата модификации которых – 27 февраля 2024 года. Ваше беспокойство вполне обосновано, так как наличие несанкционированных папок может указывать на то, что ваш сервер все еще под угрозой.
2. Нормативные ожидания
По умолчанию, структура папки .well-known/acme-challenge должна быть довольно простой и представлять собой место для хранения временных файлов, которые Let’s Encrypt использует для проверки владения доменом. В большинстве случаев внутри этой папки ожидается наличие только файлов и папок, необходимых для текущих запросов на сертификаты.
Если вы видите дополнительные папки, созданные недавно, это может быть ненормально. Однако важно учитывать и другие аспекты:
- Папки могут быть созданы автоматизированными процессами: Некоторые системы, включая хостинг-провайдеров, могут автоматически создавать дополнительные папки для управления SSL или тестирования.
- Возможные атаки и последствия взлома: Когда сервер был взломан, злоумышленники могут использовать .well-known для размещения вредоносных скриптов или ассоциации с их атаками.
3. Рекомендации по действию
Учитывая вышесказанное, вам следует выполнить следующие шаги для безопасной очистки:
- Проверьте содержимое папок: Изучите содержимое всех дополнительных папок. Убедитесь, что они содержат только файлы, используемые для проверки SSL.
- Анализируйте файлы на наличие вредоносного кода: Используйте антивирусные инструменты и инструменты мониторинга программного обеспечения, чтобы просканировать файлы на наличие известных угроз и вредоносного кода.
- Заблокируйте доступ к папке: На время проведения анализа ограничьте доступ к папке
.well-known/acme-challenge, чтобы предотвратить возможные дальнейшие атаки. - Консультация с профессионалами: Если вы не уверены в своих действиях, имеет смысл обратиться к специалистам по кибербезопасности, которые смогут провести детальный аудит системы.
- Кодируйте замещение SSL-сертификата: В зависимости от антивирусных результатов и анализа, убедитесь, что сертификаты SSL обновлены и соответствуют требованиям.
4. Заключение
Дополнительные папки в каталоге .well-known/acme-challenge могут быть как частью нормального функционирования, так и признаком угрозы. Не оставляйте эти папки без анализа, особенно после инцидента с взломом. Следуя предложенным рекомендациям, вы сможете не только удостовериться в безопасности вашего веб-сайта, но и восстановить его работоспособность после взлома. Обязательно задокументируйте все изменения и сохраните резервные копии, чтобы в будущем избежать повторения подобных ситуаций.