+38 (067) 409 15 25

РУССКИЙ ВОЕННЫЙ КОРАБЛЬ, ИДИ НА ХУЙМИ ПРАЦЮЄМО ДЛЯ УКРАЇНИ

Outsourcing TeamПортфоліоВеб-розробкаЛікування сайтів клієнта забудовника
info@outsourcing.team
+38 (067) 409 15 25

Хмельницький, вул. Зарічанська, 3/1,
поверх 2, оф. 207

Лікування сайтів клієнта забудовника

Лікування сайтів клієнта забудовника

Інформація про клієнта

Забудовником який займається проєктуванням та будівництвом, введенням в експлуатацію та продажу сучасної житлової та комерційної нерухомості. Гарантує якість, надійність та дотримання термінів.

ЗАПИТ КЛІЄНТА

Клієнт звернувся до нас із критичною проблемою: його вебсайти були скомпрометовані (заражені). Внаслідок цього сайти працюють некоректно, що створює ризики для безпеки даних та репутації. Наше завдання полягало у проведенні повного аудиту безпеки, виявленні та усуненні шкідливого коду, лікуванні заражених ресурсів та відновленні їхньої стабільної, безпечної роботи.

Вводные данные Вхідні дані

Ринок:

Україна

Ніша:

Будівництво

Какие проводились работы Хід роботи

Клієнт звернувся до нас у стані надзвичайної ситуації. Його онлайн-присутність (вебсайти), критично важлива для залучення інвесторів та кінцевих покупців, була майже повністю паралізована.

Початкова картина:

  1. Повний збій: Два з чотирьох основних корпоративних сайтів, на яких розміщувалися актуальні житлові комплекси та інформація про продаж, повністю перестали працювати, відображаючи лише помилки або порожню сторінку.
  2. Загроза поширення: Усі чотири ресурси розміщувалися на одному хостингу, без належної ізоляції між обліковими записами. Це стало основною причиною масового зараження.
  3. Виявлена інфекція: Експрес-діагностика показала, що три з чотирьох сайтів були заражені агресивним шкідливим кодом.

Вірус на сайті 1

Діагностика: ідентифікація “розумного” вірусу

Першим етапом стало глибоке дослідження природи вірусу та масштабів шкоди. З’ясувалося, що ми маємо справу не з простим дефейсом (заміна контенту сторінки або самої сторінки), а з хитрим і добре замаскованим шкідливим програмним забезпеченням.

Деталі вірусу та його дії:

  • Шкідливий код з бекдором: Вірус являв собою шкідливий скрипт, який створював прихований бекдор (лазівку) у файловій системі. Цей бекдор надавав зловмисникам постійний і необмежений доступ до всіх файлів сайту.
  • Механізм самовідновлення: Найбільша складність полягала в механізмі поширення та самовідновлення. Вірус генерував свою копію практично у кожній папці, у сотнях файлів, маскуючись під легітимні системні файли або плагіни. Якщо ми видаляли одну копію, решта прихованих копій миттєво відновлювали її протягом декількох секунд.
  • Маскування: Код був замаскований під файл, що нібито є “аналізатором безпеки сайту”. Це була класична соціальна інженерія: вірус під виглядом антивіруса.

Вірус на сайті 2

  • Наслідки для даних: Внаслідок неконтрольованої активності вірусу, який, ймовірно, мав на меті отримати дані або розмістити фішинговий контент, відбулося видалення значної частини файлів двох сайтів. Це призвело до їхнього повного збою.
  • Головний виклик: Через складну структуру каталогів (тисячі файлів на кожному сайті) та миттєве самовідновлення вірусу, ручне лікування було неможливим і абсолютно неефективним. Необхідна була комплексна стратегія ізоляції та автоматизованої дезінфекції.

План лікування: поетапна стратегія “Ізоляція та Дезінфекція”

Наша команда розробила чіткий план із п’яти ключових етапів, щоб гарантувати повне видалення вірусу та надійне відновлення функціональності.

Етап 1: Аварійне збереження та пошук чистих копій

  1. Запити на резервне копіювання: Ми негайно звернулися до підтримки хостингу, щоб отримати останні резервні копії (бекапи).
  2. Аналіз бекапів: На жаль, більшість бекапів виявилися зараженими, оскільки вірус був активним уже деякий час. Проте ми ретельно перебрали архіви та змогли вилучити кілька критично важливих, неушкоджених файлів, які допомогли відновити базову структуру двох “вбитих” сайтів.

Етап 2: Ізоляція та локалізація загрози

  1. Повне вивантаження: Щоб зупинити механізм самовідновлення вірусу та його поширення між сайтами, ми повністю вивантажили всі файли трьох заражених сайтів з хостингу на локальні захищені сервери.
  2. Робота в ізоляції: Уся подальша робота з лікування та сканування проводилася в ізольованому, офлайн-середовищі, де шкідливий код не міг виконуватися або отримувати зовнішні команди.

Етап 3: Глибоке лікування та очищення

  1. Сканування спеціалізованими інструментами: Ми використовували потужні антивірусні сканери, налаштовані на ідентифікацію прихованих бекдорів, закодованих рядків і файлів з високою ентропією (що характерно для вірусів).
  2. Ручна перевірка критичних файлів: Після автоматичного сканування наші фахівці вручну перевірили ключові файли системи, щоб переконатися, що не залишилося жодного прихованого коду.
  3. Заміна ядра та плагінів: Це був критичний крок. Ми повністю видалили старе ядро CMS (WordPress) та всі встановлені плагіни. Замість них були встановлені нові, чисті версії, завантажені виключно з офіційних репозиторіїв. Це гарантувало, що ми не повернемо випадково заражений плагін.
  4. Очищення баз даних: Бази даних також були ретельно перевірені на наявність ін’єкцій шкідливих скриптів у таблиці користувачів, опцій або постів.

Етап 4: Впровадження проактивної безпеки

Після того, як сайти були повністю вилікувані, ми перейшли до створення захисного периметра, щоб гарантувати безпеку на майбутнє:

  1. Налаштування фаєрволу рівня CMS: Встановлено та налаштовано професійні плагіни безпеки з вбудованим фаєрволом веб-додатків (WAF).
  2. Захист від Brute Force: Впровадження двофакторної автентифікації для адміністраторів, обмеження спроб входу та блокування IP-адрес.
  3. Моніторинг цілісності файлів: Налаштування системи, яка моніторить будь-які несанкціоновані зміни у файлах сайту і миттєво повідомляє про них, блокуючи потенційну загрозу.
  4. Ізоляція хостингу: На хостингу було налаштовано ізоляцію облікових записів для кожного сайту, щоб у разі, якщо один сайт буде скомпрометовано, вірус не міг поширитися на решту.

Етап 5: Повернення та моніторинг

  1. Вивантаження чистих сайтів: Вилікувані та захищені копії сайтів були завантажені назад на хостинг.
  2. Тестування функціональності: Проведено повне тестування всіх функцій, форм, галерей та посилань.
  3. Пост-запускний моніторинг: Протягом наступних тижнів було встановлено посилений моніторинг трафіку та активності на файлах, щоб переконатися у відсутності будь-яких прихованих або повторних спроб зараження.

Полученный результат Отриманий результат

В результаті нашої комплексної та оперативної роботи, клієнт отримав не просто вилікувані сайти, а значно більш надійну та стійку інфраструктуру:

  1. Повне відновлення роботи: Усі чотири сайти, включно з двома, які були майже повністю знищені, відновлені та працюють у штатному режимі.
  2. Високий рівень безпеки: Впроваджений багаторівневий захист значно знизив ризик повторного зараження. Інфраструктура стала стійкою до більшості поширених векторів атак.
  3. Нульові втрати даних: Завдяки вилученню неушкоджених фрагментів з бекапів та відновленню структури, важлива інформація про проєкти та контакти клієнтів була збережена.
  4. Спокій для бізнесу: Забудовник зміг повністю відновити маркетингову та продажу діяльність, не втрачаючи потенційних покупців через непрацюючі ресурси.

Якщо ви зіткнулися зі схожими проблемами, зверніться до інтернет-маркетинг агенції Outsourcing Team вже сьогодні. Ми забезпечимо професійне лікування, надійний захист та спокій. Не відкладайте безпеку на потім!

Зв’яжіться з нами для консультації та аудиту безпеки!

Ваші сайти потребують невідкладного лікування чи надійного захисту? Звертайтесь до нас!



    Інші кейси