PHP Naprawa po włamaniu + zabezpieczenie

Usuwanie wirusów — zhakowana strona firmy kamieniarskiej

Branża: Kamieniarstwo

PHP Web Security

Sytuacja

Firma z branży kamieniarskiej miała powtarzający się problem ze swoją stroną internetową. Po każdym przywróceniu z kopii zapasowej strona działała kilka dni, a potem „znikała" — strona główna zostawała podmieniona. Poprzedni administrator nie był w stanie zlokalizować przyczyny i potrzebna była naprawa zhakowanej strony od podstaw. Klient trafił do mnie z polecenia.

Problem — strona wracała do botnetu po każdym przywróceniu

Strona opierała się na starszych wersjach komponentów, które dawno nie były aktualizowane. Objaw był taki, że po przywróceniu backupu wszystko wyglądało normalnie przez 2-3 dni, a potem strona główna zostawała nadpisana — stawała się częścią botnetu. Poprzedni administrator kilkukrotnie przywracał stronę z kopii, ale problem wracał za każdym razem, bo kopia zawierała te same podatności.

Co zrobiłem — analiza pliku po pliku i 9 znalezionych luk

Przeprowadziłem dogłębną analizę całego kodu strony, każdego pliku z osobna. Zidentyfikowałem 9 różnych wektorów wejścia — miejsc, przez które atakujący mogli dostać się do systemu. To nie było jedno włamanie — to było dziewięć niezależnych luk, z których każda wystarczyłaby do przejęcia strony. Po zidentyfikowaniu wszystkich punktów wejścia zaktualizowałem wszystkie komponenty strony i motyw do najnowszych wersji. Tam, gdzie aktualizacja nie była możliwa (porzucone pluginy, nierozwijane motywy), wymieniłem je na aktywnie wspierane alternatywy, wolne od znanych podatności i regularnie aktualizowane. Dodatkowo wdrożyłem podstawowe zabezpieczenia: zmianę domyślnych ścieżek logowania, ograniczenie prób logowania, nagłówki bezpieczeństwa HTTP i monitoring integralności plików. Przygotowałem też dla klienta prostą instrukcję — co robić, żeby problem się nie powtórzył.

Efekt

Problem nie wrócił. Strona działa stabilnie od czasu naprawy. Klient nie musi już co kilka dni przywracać kopii zapasowej i zastanawiać się, co się stało.

Twoja strona została zhakowana? — odpowiem w 24h.

Opisz problem
← Migracja sklepu do Magento 2 — hurtownia światłowodów Migracja Magento 1 do 2 — sklep z pasmanterią →

Masz podobny problem?

Opisz z czym się mierzysz — odpowiem w ciągu 24 godzin i powiem szczerze, czy jestem w stanie pomóc. Bez zobowiązań.

Porozmawiajmy