Бюджет: 1500 UAH Термін: 3 дні
Доброго дня! Чистив уже такі історії — WP, куди залили дорвей і насипали згенерованих сторінок. Головне тут не позмітати сторінки, а знайти як саме зайшли, інакше за тиждень те саме.
Як би робив у вас:
1. Знімаю копію файлів і дамп БД, дивлюся в read-only, щоб не затерти сліди.
2. Шукаю свіжозмінені файли, веб-шели, eval/base64-ін'єкції, ліві mu-plugins, задачі в wp-cron, чужих адмінів у wp_users, сторонні рядки в options, .htaccess і конфігах nginx.
3. Звіряю плагіни й тему з чистими джерелами — вразливий компонент зазвичай і є вхідною точкою.
4. Чищу або допомагаю перезібрати з чистих файлів, далі ротація всіх ключів та паролів і список того, що закрити, щоб не повторилось.
Доступи: SSH (краще окремий ключ під цю задачу), файли сайту й дамп БД на dev-сервері. Старий робочий сайт теж швидко гляну на індикатори — могли зачепити обидва.
Час орієнтовно 2-3 дні. Ціну ставлю нижчою за звичну, бо набираю тут перші відгуки, тому мені важливо зробити чисто.
Питання: чи лишилися логи nginx і PHP-FPM за понеділок, коли зламали? З ними вхідну точку видно набагато швидше, ніж по самих файлах.
Можу почати з безпечного аудиту, ще нічого не чіпаючи.