Восстановление сайта после взлома

Григорий Земсков, компания “Ревизиум”

SeoPult.tv

Как грамотно реагировать на инцидент Какие шаги предпринять в первую очередь Как наиболее быстро и эффективно восстановить

сайт Как предотвратить взлом в будущем

Взламывают сайты, независимо от популярности,

показателей и размещаемой информации Любой сайт интересен злоумышленнику (доход

или инструмент для взлома) В зону риска попадают коммерческие ресурсы с

высокими показателями (посещаемость, ИЦ, PR) и на cms с известными уязвимостями

Владельцы не уделяют внимание проблеме безопасности

Хищение конфиденциальных данных Нанесение ущерба имиджу компании/владельцу Снижение прибыли или потеря бизнеса Паразитирование на сайте Технические сбои или уничтожение сайта

Прямые и косвенные признаки взлома

Дефейс Обнаружение вредоносного кода хостером или при сканировании

антивирусом Жалоба на спам-рассылку Жалобы на превышение нагрузки на сервер, медленный отклик

сайта Мобильный редирект при заходе с мобильного устройства Срабатывание антивируса Обнаружение чужих файлов на хостинге Сбои в работе сайта (админ-панели, ошибки на страницах) Появление сайтов-клонов Снижение посещаемости

Блокировка площадки и сайта

чтобы остановить распространение вредоносного кода, остановить спам и не допустить появление нового вредоносного кода на сайте.

Блокировать сайт через корневой .htaccess или в панели управления хостингом. Разрешить для своих IP.Order deny, allowDeny from AllAllow from 1.2.3.4

Блокировать доступ по ftp/ssh через .ftpaccess или в панели управления хостингом. Разрешить для своих IP.

Для лендинг страниц изменить директорию сайта для домена Не использовать лендинг страницы или перевод в технический

режим в cms.

Проверка рабочих компьютеров антивирусом Смена паролей

Панель управления хостингом FTP (желательно отключить) SSH Админ-панель сайта База данных

Сбор информации о взломе Запросить в тех поддержке логи веб-сервера

(error_log/access_log), ftp-сервера (xferlog), системные логи (syslogd) В случае спам-рассылки – логи почтового сервера (maillog) Информацию по запущенным процессам и загрузке (ps/top) Логи админ-панели cms Логи панели управления хостингом

Логи запросить за максимально доступный период

Протоколирование проблем после взлома для диагностики и анализа Источник информирования о проблеме (антивирусное ПО,

пользователи, поисковые системы, хостинг) Предполагаемые дата/время инцидента (дефейса, обнаружения

взлома, спам-рассылки). Дата рассылки, дата создания посторонних файлов на хостинге, дата обращения посетителя, дата детектирования антивирусным ПО или поисковой системой.

Список обнаруженных сторонних файлов на хостинге, если возможно

Информация по проблеме от посетителей или собственный опыт (сценарий поведения на сайте, скриншоты сайта или сообщений антивируса, браузер, IP адрес, операционная система, время, тип устройства, регулярность воспроизведения проблемы)

Для спам-рассылки – примеры рассылаемых писем

Определение способа взлома

Проверить логи веб-сервера (access_log/error_log), почтового сервера и ftp-сервера в окрестностях зафиксированной даты взлома.

В error_log искать ошибки 403/404 при попытке получить доступ к системным файлам /etc/passwd, ../../../, eval, sql команды, base64 последовательности, доступ к timthumb, jce, tinymce скриптам, доступ в админ-панель

В access_log тоже + посмотреть активные запросы с одного IP, к скриптам php со сгенерированными случайно именами

В xferlog искать обращения к .htaccess и index.php, index.html В логе почтового сервера смотреть массовую отправку писем

Восстановление сайта из резервной копии Резервная копия в CMS (автоматическая) Резервная копия на хостинге (автоматическая) Локальная резервная копия (вручную) Выбор стратегии резервного копирования

Лечение сайта и установка защиты

Проверка файлов и бэкапа базы данных сканерами вредоносного кода (AI-BOLIT, Maldet, ClamAv)

Удаление вредоносного кода: шеллов, бэкдоров, вирусных js вставок, дорвеев, спам-рассыльщиков и пр.

Обновление CMS и плагинов Изменение прав на файлы и папки Защита панели администратора дополнительной авторизацией Установка Web Application Firewall Изменение настроек веб-сервера: отключение системных

функций в php.ini, включение логирования, отключение сообщений об ошибках

access_log

Служебный заголовок спам-письма

Дата и время отправкиИмя скрипта-рассыльщика

Поиск изменений в .htaccess файлах по ftp логу

Дата и время операции “i” - incomingИмя файла и путь

xferlog (ftp лог)

Поиск изменений в .htaccess файлах по логу веб-сервера

access_log