Что делать если Ваш сайт взломали?

Внезапно обнаружить что Ваш любимы сайт был кем-то взломан, согласитесь, не самое приятное что могло бы произойти. Но хуже этого —  это понять, как все восстановить до первоначального состояний, особенно если произошло с Вами в первый раз.

В этой статье Вы узнаете, как следует поступать чтобы восстановить функциональность Вашего сайта.

Срочно в оффлайн!

Первое, что необходимо Вам сделать, когда это обнаружится — сразу же отключить сайт. Вы должны заменить взломанное веб-приложение (веб-сайт) стандартной сервисной страницей, которая должна размещаться на независимом сервере. Как только это будет сделано, отключите общий доступ к Вашему серверу, чтобы он не мог принимать входящие и совершать какие-либо исходящие соединения.

Это делается для того, чтобы злоумышленник не мог получить (или продолжать иметь) доступ к Вашему компьютеру, и чтобы любые вредоносные сценарии на сервере ни с чем не смоли взаимодействовать за пределами внутренней сети.

Определите неисправность

Как только Вы благополучно отключили сервер от Интернета, необходимо выяснить, что пошло не так. Это самый важный шаг, потому что, если Вы не узнаете, как кто-то получил доступ к вашему компьютеру, Вы не сможете помешать ему сделать это снова, когда восстановите сайт. Есть моменты, на которые нужно обратить внимание: это любые изменения, внесенные в файлы .htaccess, код PHP в файлах, которые не имеют расширений .php файлов или недавно установленных плагинов в WordPress или другом решении CMS. Это далеко не полный список, но с этого можно начать проверку.

Создайте резервную копию сервера

Вам необходимо сохранить копию сервера в безопасном месте, чтобы была возможность воссоздать все до состояния кода возникла эта ситуация, для дальнейшего внутреннего разбирательства, или с привлечением государственных органов если того требует ситуация.

Это позволит вам просмотреть логи файлов в автономном режиме, в поисках действий, отличающихся от обычной деятельности пользователя, и поможет вам узнать, что пошло не так. Вы также, при необходимости, можете передать эти файлы своим юристам, если воздействие было серьезным, например, затронуты персональные данные пользователей.

Меняйте SSH ключи и пароли

Затем вам нужно будет изменить ключи SSH и / или пароли, которые Вы используете для доступа к серверу или приложению. Это ключи необходимы для Вашей идентификации при подключении к серверу с компьютера.

Возможно, Вы лично вообще не подключаетесь к серверу, но мы упомянули об этом здесь, для того чтобы Вы обязательно узнали у своих разработчиков, изменили ли они SSH-ключи.

Настройте новый сервер и сносите старый

После атаки Вы всегда должны настраивать новый сервер с нуля. Это делается для того, чтобы не было причин винить, в атаке на сервер, операционную систему или системное программное обеспечение. Затем Вы должны настроить ее так, как было раньше, для обеспечения работы всех обновлений в системе безопасности, если это необходимо.

Выполнение обновлений системы безопасности гарантирует, что потенциальные ошибки в программном обеспечении не будут способствовать атакам, которые могут произойти в будущем.

Если у Вас нет виртуального сервера, но Вы размещаете физический сервер в датацентре, тогда Вы можете поменять его на новый. Однако Вы должны переустановить операционную систему. Этот шаг важен, для уверенности в том, что все, скомпрометированные атакой, элементы системы были уничтожены. Так же необходимо будет запустить все обновления безопасности, которые будут гарантировать, что возможные ошибки в системном программном обеспечении не будут способствовать атакам, которые могут произойти в будущем.

Устранить причину

Вы уже в курсе, что пошло не так, теперь пришло время заделать брешь. Вы не должны возобновлять работу сервера до тех пор, пока не установите вектор атаки, так как злоумышленник может атаковать снова.

Запустите сайт из известного безопасного хранилища

Теперь Вы сделали все возможное, чтобы узнать, что и как произошло, а также переустановили свою операционную систему и системное программное обеспечение. Вам необходимо развернуть исходный код из репозитория, используя обычные процедуры развертывания, при условии, что они не являются источником атаки. Это гарантирует, что безопасная копия кода вашего сайта будет развернута на свежем сервере, в противном случае это позволит злоумышленнику получить доступ к Вашей системе, как только сервер будет онлайн.

Восстановите базы данных и измените пароли пользователей

Заключительный шаг до того, как Ваш веб-сайт снова станет общедоступным — это восстановление базы данных из самой последней резервной копии и сброс всех пользовательских паролей. Рекомендуется отправлять всем пользователям электронное письмо, объясняющее что произошло, извинится за предоставленные неудобства и предоставить ссылку на процедуру смены пароля. Важно, чтобы все пароли были изменены! Это должно обеспечить безопасность пользователей, если они использовали один и тот же пароль с адресом электронной почты, связанным с их учетной записью, на других веб-сайтах.

“It’s alive!”

Запуск. После того, как Вы проделали все вышеперечисленные действия, восстановить, после взлома, Ваш сайт будет намного безопаснее. Удачи!