ИТ поддержка вашего бизнеса

+7 (499) 653-94-99

Заказать звонок

Как мы лечили сайт для одной из обслуживаемых организаций

Некоторые случаи, с которыми приходилось работать специалистам компании ITSSupport, могут быть весьма интересными даже тем, кто ещё не сталкивался с проблемами сам – в качестве наглядного примера решений сложных задач, возникающих, казалось бы, на ровном месте.

К показательным можно отнести недавний инцидент. За помощью к нам обратился заказчик, у которого замедлилась работа корпоративного сайта. Всего у клиента было три сайта, и при небольшом, казалось бы, наполнении, они занимали все предоставленные хостером ресурсы. При этом в последнее время работа сайтов замедлилась.

Хостер предлагал нашему заказчику увеличить место под сайты и выделить дополнительные мощности, так как имеющихся ресурсов не хватало. Естественно, это существенно увеличило бы абонентскую плату, но шаг выглядел необходимым. В самом деле, казалось бы, логичное решение – если сайты разрослись – увеличить мощность и объём аппаратных ресурсов под них. Но сами сайты явно не тянули на такой объём.

При первом же разговоре с заказчиком создалось впечатление, что сайт заражён и ресурсы используются вредоносными скриптами, а не самими сайтами. Мы взялись за решение проблемы, вот что нам потребовалось сделать:

1) Скрипты сайтов и дампы баз данных были загружены с хостинга на компьютер специалиста для дальнейшего анализа

2) Проведен анализ скриптов и базы данных

3) Обнаружен и удален вредоносный код в скриптах сайта http://***.ru/:

  • при помощи антивирусного ПО одного из разработчиков обнаружено 35 зараженных объектов. 34 объекта удалено автоматически, 1 вылечен вручную (вредоносный код присутствовал в основном конфигурационном файле Joomla)
  • в результате ручного анализа обнаружено и удалено еще 14 вредоносных объектов. Поиск зараженных скриптов осуществлялся по двум критериям:
  • дата изменения файлов
  • наличие характерных для вредоносного кода функций: eval, assert, create_function, gzinflate, str_rot13, preg_replace, file_get_contents, curl_exec и других.
  • Также проверены дампы баз данных. Вредоносных элементов не обнаружено. Таким образом был очищен первый сайт

4) Обнаружен и удален вредоносный код в скриптах сайта http://www.***.ru/

  • при помощи антивирусного ПО обнаружено и удалено 43 вредоносных объекта
  • в результате ручного анализа обнаружено и удалено 9 вредоносных объектов. Поиск зараженных скриптов осуществлялся по двум критериям:
  • дата изменения файлов
  • наличие характерных для вредоносного кода функций: eval, assert, create_function, gzinflate, str_rot13, preg_replace, file_get_contents, curl_exec и других.
  • Также проверены дампы баз данных. Вредоносных элементов не обнаружено. На этом завершилось лечение второго сайта

5) Проведен анализ скриптов и содержимого БД сайта http://***.su/ на наличие вредоносного кода. Ничего подозрительного не обнаружено

6) Произведена замена заражённых скриптов сайтов на «чистые»

7) Проведена дополнительная проверка скриптов сайта при помощи антивирусного ПО ClamAV. Вредоносные объекты не обнаружены

8) Для большинства директорий убраны права на запись (кроме логов и кэша) для предотвращения заражения в будущем

9) Добавлено задание на проведение сканирования при помощи антивирусного ПО ClamAV каждую ночь в 01:04. Информация о инфицированных объектах записывается в лог /var/log/clamav/clamscan.log, никакие действия с инфицированными объектами автоматически не производятся.

10) Настроены правила iptables, которые позволяют повысить общий уровень безопасности VPS заказчика. Политиками доступа разрешено использование только используемых сервисами сетевых портов.

11) В результате аудита учетных записей для сайта http://***.ru/ зафиксирована неопознанная учетная запись «aerjbnvzijzehop» (e-mail: goginjer@free-web-mails.com) с правами администратора. Рекомендуется к удалению.

Результат не заставил себя ждать – работоспособность скриптов на всех трех ресурсах восстановлена, нагрузка на хостинг снизилась вдвое, поэтому вопрос о выделении дополнительных мощностей отпал сам собой. Получилось, что в результате активности вредоносных программ значительно снизилась скорость работы сайта, сайт стал занимать много места на хостинге (выяснилось, что в директории сайта хранился также фишинговый ресурс, имитировавший интернет-магазин Apple Store и размещённый там взломщиками), а кто-то посторонний, вероятно, и вовсе имел полный доступ к ресурсам.

Но самое неприятное в такой ситуации – при рассылке спама или распространении вредоносных программ ресурс может очень быстро попасть в чёрные списки поисковиков, что резко снизит количество переходов и популярность сайта. При этом пострадает не только имя компании, чей заражённый сайт стал источником заразы, но и возникнут ощутимые финансовые потери, связанные с извлечением ресурса из чёрных списков и его повторное продвижение.

Заказчик остался полностью доволен результатами нашей работы, а мы пополнили свою копилку необычных случаев ещё одним инцидентом. Случившееся ещё раз подтверждает, что необходимо постоянно следить не только за актуальностью содержания веб-ресурсов, но и заботиться об их защищённости от вредоносных скриптов и взлома. Команда ITSSupport предлагает своим клиентам полный перечень услуг по обеспечению безопасности как web-ресурсов, так и физической инфраструктуры вашей компании.

Наши специалисты всегда к Вашим услугам! Обратиться к нам можно любым удобным для Вас способом:

  • Оставьте заявку в специальной форме, которую вы видите на каждой странице справа;
  • Позвоните нам по телефону: +7 (499) 653-94-99 или +7 (926) 174-87-73;
  • Напишите запрос в произвольной форме на info@itssupport.ru.