Что делать, если ваш сайт взломали

Открыть главную страницу сайта и обнаружить там информацию, которой не должно быть — не самый приятный на свете опыт. Сайты действительно часто становятся целью атак, потому что “смотрят” в интернет 24/7, обслуживаются подрядчиками, которые не особо пекутся на тему безопасности и не покрываются строгими ИБ-политиками типа принципа минимальных прав для каждого пользователя и двухфакторной аутентификации.

Мотивы для хакеров при этом самые разные:

• разместить на главной странице лозунги или компрометирующую информацию
• украсть персональные данных клиентов и подвести компанию под репутационный удар и под штрафы от регуляторов
• перенаправление клиентов на другие сайты
• извлечение прямой финансовой выгоды: подмена реквизитов для оплаты, внедрение инструментов фишинга в формы оплаты, встраивание модулей для майнинга крипты
• подмена товаров, цен или условий покупки на сайте
• просадка в SEO и бан поисковиками, которые могут пометить ваш сайт как вредоносный

Одним словом, мотивов может быть множество. Важно вовремя распознать аномальное поведение сайта и принять меры.

1. Сразу же, как стало понятно, что сайт взломан

• временно отключите сайт (если возможно)
• измените все пароли: хостинг, CMS, база данных, почта, админки
• создайте копию текущей (взломанной) версии сайта, включая логи — для анализа и расследования

2. Очистка и восстановление работоспособности

Важно: большая часть действий по восстановлению имеют смысл только при наличии актуальной резервной копии сайта. Если резервной копии нет, устранить последствия взлома малореально. Часто бывает проще создать сайт заново. Если сайт на много страниц, если его дизайн и наполнение стоили организации больших денег, и если данные на сайте постоянно обновляются, резервное копирование обязательно. Оно как минимум оградит от дополнительных расходов. А как максимум — сократит время простоя и тем самым минимизирует влияние выключенного сайта на финансовые показатели организации.

Вместе с тем, восстановление из резервной копии без анализа — как лечение без диагноза. Файл с бэкапом уже может быть скомпрометирован. Атака, с последствиями которой вы боретесь, могла “зреть” неделями: злоумышленник может внедрить код в систему задолго до активации. С простым восстановлением сайта из такой копии повторный взлом — лишь вопрос времени.

Вот почему перед возвратом сайта в работоспособное состояние следует:

• Сравнить файлы сайта с резервной копией или официальной версией CMS. Удалить вредоносные файлы.
• Проверить файлы настроек, политик, автозапуск, задания по расписанию.
• Проверить админку и базу данных, удалить неизвестных пользователей.
• Реабилитировать сайт перед поисковиками: проверить его в Яндекс.Вебмастере, отправить на повторную проверку.
• Уведомить об инциденте заинтересованные стороны — хостинг-провайдера, пользователей (особенно если произошла утечка персональных данных); Роскомнадзор или иной регулятор, если этого требует закон.

Казалось бы, сайт работает, проблема решена, и можно выдохнуть. Но нет. Впереди анализ инцидента. Он дает ответы на следующие вопросы:

• Как именно произошел взлом?
• Был ли нанесён дополнительный ущерб (утечка данных, фальшивые письма и т.д.)?
• Не осталось ли у злоумышленника каких-либо возможностей для доступа?

Провести такой анализ своими силами затруднительно. Так что лучше доверить эту деликатную задачу профессионалам. Это будет эффективнее. Благодаря инструментам, методикам и профессиональной насмотренности ИБ-эксперт разглядит следы взлома, заметит неочевидный канал доступа, а также подготовит официальный отчет, который может пригодиться в коммуникации с регуляторами и контрагентами.

Примерный перечень проверок выглядит следующим образом:

• Проверить журнал ошибок и логов веб-сервера: входы, изменения файлов/контента, подозрительные действия.
• Проверить версии CMS, плагинов, тем, ОС на хостинге, версию PHP, MySQL, веб-сервера — есть ли устаревшие и уязвимые версии?
• Используются ли надёжные пароли?
• Кто менял код/контент незадолго до взлома?

Более полный печень — в нашем чек-листе ниже.

1. Защита веб-приложения:

• Регулярно обновляйте CMS, плагины, темы.
• Используйте WAF (Web Application Firewall).

2. Защита хостинга и сервера:

• Обновляйте PHP, MySQL, nginx, Apache. Отключите неиспользуемые службы и порты.
• Настройте безопасные конфигурации.

3. Защита от социальной инженерии:

• Обучите сотрудников противодействовать фишингу.
• Включите двухфакторную аутентификацию (2FA) для всех доступов.

4. Защита от инсайдеров:

• Принцип минимальных прав — только необходимое.
• Немедленно удаляйте доступ у уволенных сотрудников.
• Используйте IDS/IPS для отслеживания аномалий.

5. Защита от уязвимостей внешних библиотек:

• Храните критически важные скрипты локально.
• Регулярно проверяйте внешние библиотеки.

6. Общие меры:

• Регулярно делайте резервные копии и обязательно проверяйте возможность восстановления.
• Подготовьте план реагирования на инциденты.
• Проводите пентесты и аудит кода, особенно после изменений.

Будьте бдительны, а мы поможем!