Как мы восстановили функционал сайта после взлома

ООО «Дюна ОПТ»

Задача

Восстановить работу сайта после полного удаления функционала злоумышленниками

О клиенте

«Дюна» – оптовый интернет-магазин производителя обуви.

Компания работает более 15 лет и выпускает более 200 моделей обуви для продажи по всей России. Продукция компании ежегодно завоевывает знак «Сто лучших товаров России».

Задачи

В феврале 2022 года участились случаи взломов сайтов и атак. В случае с нашим клиентом, такой взлом обернулся полным отключением сайта:

На главном экране была размещена экстремистская информация
Контент удален
Весь функционал сайта не работал

Сайт находился на собственном сервере клиента, поэтому предотвратить взлом, к сожалению, мы не могли.

Перед нами стояли задачи:

Очистить сайт от вирусов
Восстановить функционал и работоспособность сайта

Какие сложности нас ждали

Отсутствие резервных копий сайта, так как их удалили при взломе.
Вредоносные файлы были тщательно спрятаны. Файл находился в папке bitrix/tools (не в корне, где его было бы просто найти), поэтому нужно было проверить все папки.
Большой объем базы данных на взломанном сайте (почти 70 ГБ). Ее можно было перенести на хостинг только через ссылку.
Базу данных нужно было очистить от вирусов, затем только подключать к восстановленному сайту.

Этапы восстановления сайта

1 этап. Разведка

Для начала нам нужно было разобраться насколько сильно взлом затронул внутреннюю систему.

В панели управления были удалены все блоки, которые отвечают за вывод информации и функционал сайта, были удалены.

Злоумышленники заразили сайт вредоносными файлами – скриптами, которые запускают часть программного кода, вызывающую удаление инфоблоков, пользователей, бэкапов (резервных копий сайта).

Однако не тронули базу данных сайта:

Cannot find 'block_with_pictures' template with page ''

2 этап. Поиск резервной копии сайта

База сайта осталась нетронутой, поэтому для восстановления сайта нам было нужно:

Найти резервную копию сайта
Проверить и очистить базу данных от вирусов
Объединить резервную копию с базой данных

На сайте резервные копии были удалены, но мы нашли их на хостинге. Однако базы сайта на хостинге не было, так как она весила почти 70 ГБ и не помещалась там.

Получается, что на сайте у нас была база, но не было бэкапа, а на хостинге наоборот – был бэкап, не было базы. Нужно было их объединить.

Есть 2 способа подключения базы данных:

Скачать базу данных, затем расположить ее на хостинге. Затем, через настройки CMS подключить базу к сайту.
Не скачивать базу, а использовать прямую ссылку на нее. Так делают редко, так как сразу несколько копий сайта будет использовать одну базу данных. То есть если внести изменения на одном сайте, это отразиться и на других.

Так как мы не могли разместить базу данных на хостинге из-за ее большого объема, нам пришлось манипулировать подключением базы через ссылку, а это означало, что мы используем одну базу на двух сайтах.

Это было опасное решение, так как вирусы находились в базе данных и они могли попасть в бэкап.

3 этап. Чистка базы данных сайта

Мы начали чистить базу, чтобы защитить бэкап от заражения вирусами:

Удалили файл, который отвечал за вывод вредоносной информации на главной странице сайта, а также, который удалял весь сайт. Искали файлы по дате изменения, а также с помощью специальных утилит (антивирусов), которые указывали, какие именно файлы вредоносны.
Обновили все модули до актуальной версии, чтобы исключить уязвимости в системе.
Проверили базу на наличие других вредоносных файлов с помощью антивируса.

После этих работ приступили к переносу базы данных на бэкап.