Budżet: 1500 UAH Termin: 3 dni
Dzień dobry! Czyściłem już takie historie — WP, gdzie wgrano doorwaye i nasypano wygenerowanych stron. Główne tutaj to nie zamiatać stron, a znaleźć, jak dokładnie się dostały, w przeciwnym razie za tydzień to samo.
Jak bym to robił u was:
1. Zbieram kopię plików i zrzut bazy danych, patrzę w trybie tylko do odczytu, żeby nie zatarć śladów.
2. Szukam świeżo zmienionych plików, web shelli, eval/base64-iniekcji, lewych mu-plugins, zadań w wp-cron, obcych adminów w wp_users, obcych wpisów w options, .htaccess i konfiguracjach nginx.
3. Porównuję wtyczki i motyw z czystymi źródłami — podatny komponent zazwyczaj jest punktem wejścia.
4. Czyściłem lub pomagam złożyć z czystych plików, potem rotacja wszystkich kluczy i haseł oraz lista tego, co zamknąć, żeby się nie powtórzyło.
Dostępy: SSH (lepiej osobny klucz pod to zadanie), pliki strony i zrzut bazy danych na serwerze dev. Stary działający serwis też szybko przejrzę pod kątem wskaźników — mogły dotknąć obu.
Czas orientacyjnie 2-3 dni. Cenę stawiam niższą niż zwykle, bo zbieram tutaj pierwsze opinie, więc ważne jest dla mnie, żeby zrobić to czysto.
Pytanie: czy zostały logi nginx i PHP-FPM z poniedziałku, kiedy zhakowano? Z nimi punkt wejścia widać znacznie szybciej niż po samych plikach.
Mogę zacząć od bezpiecznego audytu, jeszcze nic nie dotykając.