Как мы восстановили функционал сайта после взлома

О клиенте

«Дюна» – оптовый интернет-магазин производителя обуви.

Компания работает более 15 лет и выпускает более 200 моделей обуви для продажи по всей России. Продукция компании ежегодно завоевывает знак «Сто лучших товаров России».

Задачи

В феврале 2022 года участились случаи взломов сайтов и атак. В случае с нашим клиентом, такой взлом обернулся полным отключением сайта:

• На главном экране была размещена экстремистская информация
• Контент удален
• Весь функционал сайта не работал

Сайт находился на собственном сервере клиента, поэтому предотвратить взлом, к сожалению, мы не могли.

Перед нами стояли задачи:

• Очистить сайт от вирусов
• Восстановить функционал и работоспособность сайта

Какие сложности нас ждали

1. Отсутствие резервных копий сайта, так как их удалили при взломе.
2. Вредоносные файлы были тщательно спрятаны. Файл находился в папке bitrix/tools (не в корне, где его было бы просто найти), поэтому нужно было проверить все папки.
3. Большой объем базы данных на взломанном сайте (почти 70 ГБ). Ее можно было перенести на хостинг только через ссылку.
4. Базу данных нужно было очистить от вирусов, затем только подключать к восстановленному сайту.

Этапы восстановления сайта

1 этап. Разведка

Для начала нам нужно было разобраться насколько сильно взлом затронул внутреннюю систему.

В панели управления были удалены все блоки, которые отвечают за вывод информации и функционал сайта, были удалены.

Злоумышленники заразили сайт вредоносными файлами – скриптами, которые запускают часть программного кода, вызывающую удаление инфоблоков, пользователей, бэкапов (резервных копий сайта).

Однако не тронули базу данных сайта:

2 этап. Поиск резервной копии сайта

База сайта осталась нетронутой, поэтому для восстановления сайта нам было нужно:

• Найти резервную копию сайта
• Проверить и очистить базу данных от вирусов
• Объединить резервную копию с базой данных

На сайте резервные копии были удалены, но мы нашли их на хостинге. Однако базы сайта на хостинге не было, так как она весила почти 70 ГБ и не помещалась там.

Получается, что на сайте у нас была база, но не было бэкапа, а на хостинге наоборот – был бэкап, не было базы. Нужно было их объединить.

Есть 2 способа подключения базы данных:

1. Скачать базу данных, затем расположить ее на хостинге. Затем, через настройки CMS подключить базу к сайту.
2. Не скачивать базу, а использовать прямую ссылку на нее. Так делают редко, так как сразу несколько копий сайта будет использовать одну базу данных. То есть если внести изменения на одном сайте, это отразиться и на других.

Так как мы не могли разместить базу данных на хостинге из-за ее большого объема, нам пришлось манипулировать подключением базы через ссылку, а это означало, что мы используем одну базу на двух сайтах.

Это было опасное решение, так как вирусы находились в базе данных и они могли попасть в бэкап.

3 этап. Чистка базы данных сайта

Мы начали чистить базу, чтобы защитить бэкап от заражения вирусами:

1. Удалили файл, который отвечал за вывод вредоносной информации на главной странице сайта, а также, который удалял весь сайт. Искали файлы по дате изменения, а также с помощью специальных утилит (антивирусов), которые указывали, какие именно файлы вредоносны.
2. Обновили все модули до актуальной версии, чтобы исключить уязвимости в системе.
3. Проверили базу на наличие других вредоносных файлов с помощью антивируса.

После этих работ приступили к переносу базы данных на бэкап.

4 этап. Восстановление сайта

Сначала мы развернули бэкап на стороннем хостинге, так как вредоносные файлы все-таки могли остаться в базе данных.

В течение суток вирусы не проявились, мы убедились, что сайт чистый и можем спокойно переносить бэкап на основной сайт.

Чистая база там уже была, мы развернули бэкап и вернули сайт к рабочему состоянию.

Результат

Всего за 2 дня мы восстановили работу сайта после его взлома и полного удаления функционала злоумышленниками:

• Нашли резервную копию
• Проверили и очистили базу данных от вирусов
• Объединили резервную копию с базой данных

Привели сайт в полноценное рабочее состояние и устранили все ошибки:

Вот отзыв нашего клиента