Бюджет: 1500 UAH Срок: 3 дня
Добрый день! Чистил уже такие истории — WP, куда залили дорвей и насыпали сгенерированных страниц. Главное здесь не сметать страницы, а найти, как именно зашли, иначе за неделю то же самое.
Как бы делал у вас:
1. Снимаю копию файлов и дамп БД, смотрю в read-only, чтобы не стереть следы.
2. Ищу свежезамененные файлы, веб-оболочки, eval/base64-инъекции, левые mu-plugins, задачи в wp-cron, чужих администраторов в wp_users, сторонние строки в options, .htaccess и конфигурациях nginx.
3. Сверяю плагины и тему с чистыми источниками — уязвимый компонент обычно и является входной точкой.
4. Чищу или помогаю пересобрать с чистых файлов, далее ротация всех ключей и паролей и список того, что закрыть, чтобы не повторилось.
Доступы: SSH (лучше отдельный ключ под эту задачу), файлы сайта и дамп БД на dev-сервере. Старый рабочий сайт тоже быстро гляну на индикаторы — могли затронуть оба.
Время ориентировочно 2-3 дня. Цену ставлю ниже за привычную, потому что набираю здесь первые отзывы, поэтому мне важно сделать чисто.
Вопрос: остались ли логи nginx и PHP-FPM за понедельник, когда сломали? С ними входную точку видно намного быстрее, чем по самим файлам.
Могу начать с безопасного аудита, еще ничего не трогая.