Как мы восстановили функциональность интернет-магазина производителя обуви после его взлома
Рассказываем, как специалисты «Веб-Центра» справляются с нестандартными ситуациями
О клиенте
«Дюна» – оптовый интернет-магазин производителя обуви. Продает по всей России.
Что произошло
- На главном экране была размещена экстремистская информация
- Контент удален
- Весь функционал сайта не работал
Сайт находился на собственном сервере клиента, поэтому предотвратить взлом, к сожалению, мы не могли.
Перед нами стояли задачи:
- Очистить сайт от вирусов
- Восстановить функционал и работоспособность сайта
Какие сложности нас ждали
- Отсутствие резервных копий сайта, так как их удалили при взломе.
- Вредоносные файлы были тщательно спрятаны. Файл находился в папке bitrix/tools (не в корне, где его было бы просто найти), поэтому нужно было проверить все папки.
- Большой объем базы данных на взломанном сайте (почти 70 ГБ). Ее можно было перенести на хостинг только через ссылку.
- Базу данных нужно было очистить от вирусов, затем только подключать к восстановленному сайту.
Этапы восстановления сайта
1 этап. Разведка
Для начала нам нужно было разобраться насколько сильно взлом затронул внутреннюю систему.
В панели управления были удалены все блоки, которые отвечают за вывод информации и функционал сайта, были удалены.
Злоумышленники заразили сайт вредоносными файлами – скриптами, которые запускают часть программного кода, вызывающую удаление инфоблоков, пользователей, бэкапов (резервных копий сайта).
Однако не тронули базу данных сайта:
2 этап. Поиск резервной копии сайта
База сайта осталась нетронутой, поэтому для восстановления сайта нам было нужно:
- Найти резервную копию сайта
- Проверить и очистить базу данных от вирусов
- Объединить резервную копию с базой данных
На сайте резервные копии были удалены, но мы нашли их на хостинге. Однако базы сайта на хостинге не было, так как она весила почти 70 ГБ и не помещалась там.
Получается, что на сайте у нас была база, но не было бэкапа, а на хостинге наоборот – был бэкап, не было базы. Нужно было их объединить.
Есть 2 способа подключения базы данных:
- Скачать базу данных, затем расположить ее на хостинге. Затем, через настройки CMS подключить базу к сайту.
- Не скачивать базу, а использовать прямую ссылку на нее. Так делают редко, так как сразу несколько копий сайта будет использовать одну базу данных. То есть если внести изменения на одном сайте, это отразиться и на других.
Так как мы не могли разместить базу данных на хостинге из-за ее большого объема, нам пришлось манипулировать подключением базы через ссылку, а это означало, что мы используем одну базу на двух сайтах.
Это было опасное решение, так как вирусы находились в базе данных и они могли попасть в бэкап.
3 этап. Чистка базы данных сайта
Мы начали чистить базу, чтобы защитить бэкап от заражения вирусами:
- Удалили файл, который отвечал за вывод вредоносной информации на главной странице сайта, а также, который удалял весь сайт. Искали файлы по дате изменения, а также с помощью специальных утилит (антивирусов), которые указывали, какие именно файлы вредоносны.
- Обновили все модули до актуальной версии, чтобы исключить уязвимости в системе.
- Проверили базу на наличие других вредоносных файлов с помощью антивируса.
После этих работ приступили к переносу базы данных на бэкап.
4 этап. Восстановление сайта
Сначала мы развернули бэкап на стороннем хостинге, так как вредоносные файлы все-таки могли остаться в базе данных.
В течение суток вирусы не проявились, мы убедились, что сайт чистый и можем спокойно переносить бэкап на основной сайт.
Чистая база там уже была, мы развернули бэкап и вернули сайт к рабочему состоянию.
Результат
Всего за 2 дня мы восстановили работу сайта после его взлома и полного удаления функционала злоумышленниками:
- Нашли резервную копию
- Проверили и очистили базу данных от вирусов
- Объединили резервную копию с базой данных
Привели сайт в полноценное рабочее состояние и устранили все ошибки:
Отзыв нашего клиента
Если понадобится помощь с сайтом – мы всегда рады помочь.