Восстановление сайта после взлома.

1. Восстановление сайта после
взлома
Григорий Земсков, компания “Ревизиум”
SeoPult.tv

2.  Как грамотно реагировать на инцидент
 Какие шаги предпринять в первую очередь
 Как наиболее быстро и эффективно восстановить
сайт
 Как предотвратить взлом в будущем

3.  Взламывают сайты, независимо от популярности,
показателей и размещаемой информации
 Любой сайт интересен злоумышленнику (доход
или инструмент для взлома)
 В зону риска попадают коммерческие ресурсы с
высокими показателями (посещаемость, ИЦ, PR)
и на cms с известными уязвимостями
 Владельцы не уделяют внимание проблеме
безопасности

4.  Хищение конфиденциальных данных
 Нанесение ущерба имиджу компании/владельцу
 Снижение прибыли или потеря бизнеса
 Паразитирование на сайте
 Технические сбои или уничтожение сайта

5. Прямые и косвенные признаки взлома
 Дефейс
 Обнаружение вредоносного кода хостером или при сканировании
антивирусом
 Жалоба на спам-рассылку
 Жалобы на превышение нагрузки на сервер, медленный отклик
сайта
 Мобильный редирект при заходе с мобильного устройства
 Срабатывание антивируса
 Обнаружение чужих файлов на хостинге
 Сбои в работе сайта (админ-панели, ошибки на страницах)
 Появление сайтов-клонов
 Снижение посещаемости

6. Блокировка площадки и сайта
чтобы остановить распространение вредоносного кода, остановить спам и не допустить появление
нового вредоносного кода на сайте.
 Блокировать сайт через корневой .htaccess или в панели
управления хостингом. Разрешить для своих IP.
Order deny, allow
Deny from All
Allow from 1.2.3.4
 Блокировать доступ по ftp/ssh через .ftpaccess или в панели
управления хостингом. Разрешить для своих IP.
 Для лендинг страниц изменить директорию сайта для домена
 Не использовать лендинг страницы или перевод в технический
режим в cms.

7.  Проверка рабочих компьютеров антивирусом
 Смена паролей
 Панель управления хостингом
 FTP (желательно отключить)
 SSH
 Админ-панель сайта
 База данных

8. Сбор информации о взломе
 Запросить в тех поддержке логи веб-сервера
(error_log/access_log),
 ftp-сервера (xferlog), системные логи (syslogd)
 В случае спам-рассылки – логи почтового сервера (maillog)
 Информацию по запущенным процессам и загрузке (ps/top)
 Логи админ-панели cms
 Логи панели управления хостингом
Логи запросить за максимально доступный период

9. Протоколирование проблем после взлома для
диагностики и анализа
 Источник информирования о проблеме (антивирусное ПО,
пользователи, поисковые системы, хостинг)
 Предполагаемые дата/время инцидента (дефейса, обнаружения
взлома, спам-рассылки). Дата рассылки, дата создания
посторонних файлов на хостинге, дата обращения посетителя,
дата детектирования антивирусным ПО или поисковой системой.
 Список обнаруженных сторонних файлов на хостинге, если
возможно
 Информация по проблеме от посетителей или собственный опыт
(сценарий поведения на сайте, скриншоты сайта или сообщений
антивируса, браузер, IP адрес, операционная система, время, тип
устройства, регулярность воспроизведения проблемы)
 Для спам-рассылки – примеры рассылаемых писем

10. Определение способа взлома
 Проверить логи веб-сервера (access_log/error_log), почтового
сервера и ftp-сервера в окрестностях зафиксированной даты
взлома.
 В error_log искать ошибки 403/404 при попытке получить
доступ к системным файлам /etc/passwd, ../../../, eval, sql
команды, base64 последовательности, доступ к timthumb, jce,
tinymce скриптам, доступ в админ-панель
 В access_log тоже + посмотреть активные запросы с одного IP,
к скриптам php со сгенерированными случайно именами
 В xferlog искать обращения к .htaccess и index.php, index.html
 В логе почтового сервера смотреть массовую отправку писем

11. Восстановление сайта из резервной копии
 Резервная копия в CMS (автоматическая)
 Резервная копия на хостинге (автоматическая)
 Локальная резервная копия (вручную)
 Выбор стратегии резервного копирования

12. Лечение сайта и установка защиты
 Проверка файлов и бэкапа базы данных сканерами вредоносного
кода (AI-BOLIT, Maldet, ClamAv)
 Удаление вредоносного кода: шеллов, бэкдоров, вирусных js
вставок, дорвеев, спам-рассыльщиков и пр.
 Обновление CMS и плагинов
 Изменение прав на файлы и папки
 Защита панели администратора дополнительной авторизацией
 Установка Web Application Firewall
 Изменение настроек веб-сервера: отключение системных
функций в php.ini, включение логирования, отключение
сообщений об ошибках

13. access_log
Служебный заголовок спам-письма
Дата и время отправки
Имя скрипта-рассыльщика

14. Поиск изменений в .htaccess файлах по ftp логу
Дата и время операции “i” - incomingИмя файла и путь
xferlog (ftp лог)

15. Поиск изменений в .htaccess файлах по логу веб-сервера
access_log