Веб-сайттан вирустарды жою: Мұны қалай жасауға болады?

Автор: halfhope

Бұл мақалада OpenCart сайтының вирустарын жою үшін кезең-кезеңмен алгоритм ұсынылған. Бұл нұсқаулық техникалық тұрғыдан жақсы дайындалған пайдаланушыларға арналған, олар кодты жақсы түсінеді және мәселелерді шешу үшін әртүрлі құралдарды тиімді пайдалана алады. Егер сіз басқа CMS немесе платформаны пайдалансаңыз да, мұндағы ақпарат сізге пайдалы болуы мүмкін.

Автордан

Егер сізге сайт немесе серверді тазалау қажет болса, Telegram арқылы маған хабарласыңыз (halfhope). Мен сізге баға мен мерзім туралы ақпарат беремін. Тазалау қызметі 1 жылдық кепілдемені қамтиды.

Қысқаша алгоритм

1. Сайттың резервтік көшірмесін жасаңыз.
2. Оны жүктеп алыңыз.
3. Жергілікті компьютерде тазалаңыз.
4. Мүмкіндігінше барлық құпиясөздерді өзгертіңіз.
5. Серверден файлдар мен дерекқорды жойыңыз.
6. Тазаланған файлдар мен дерекқорды қайтадан серверге жүктеңіз.

Егер бір нәрсе ұмытылса, мониторинг орнатыңыз:

• Файл өзгерістерін бақылауды және журнал жүргізуді қосыңыз.
• Кез келген инциденттер журналға жазылады және кейін талданады.

Ұсынылатын бақылау мерзімі: 3-4 апта.

Толық сипаттама

Дайындық

Сайт файлдары мен дерекқорды жергілікті компьютерге жүктеу үшін бір zip-архив жасау оңайырақ. image қалтасын шығарып тастауға болады, өйткені онда тек суреттер бар және орындалатын файлдар жоқ. Бірақ тазаланған сайт нұсқасын жүктемес бұрын оны кейін тексеру керек.

OpenServer/WAMP/LAMP/XAMPP немесе ұқсас құралдарды пайдаланып, жаңа дерекқор жасаңыз және сайт дерекқорының дампын импорттаңыз.

Файлдарды жұмыс істеуге ыңғайлы қалтаға шығарыңыз.

Дерекқормен жұмыс

1. oc_user кестесін тауып, әкімші пайдаланушыдан басқа барлық пайдаланушыларды жойыңыз. Құпиясөзді табу әрекеттерінен қорғау үшін әкімші атын өзгерту ұсынылады.
2. Әкімші құпиясөзін жаңартыңыз. oc_user кестесіндегі ағымдағы құпиясөзді жаңа құпиясөздің MD5 хэшіне ауыстырыңыз және salt өрісін тазартыңыз.
3. Модуль модификаторлары сақталатын oc_modification кестесіне өтіңіз. Кодты қауіпсіздік тұрғысынан тексеріңіз, өйткені 2020 жылдан бастап кейбір ботнеттер OpenCart модификаторларын реверс-шелл байланысы үшін пайдаланып келеді.

Файлдармен жұмыс

1. Қажетсіз элементтерді жойыңыз: phpinfo, кэш, журналдар, пайдаланылмаған тақырыптар (әдепкі тақырыптан басқа), тілдер, өзгертілген файлдар (мысалы, system/storage/modification).
2. Файлдарды зиянды кодқа тексеріңіз. ai-bolit (Revisium), ShellDetector, LMD, антивирус бағдарламалары және басқа құралдарды пайдаланыңыз.
3. $_POST, $_GET, $_COOKIE арқылы қосымша кіру нүктелерін және жасырын скрипттерді іздеңіз.
4. GIT, Beyond Compare немесе WinMerge құралдарын пайдаланып, қазіргі файлдарды бастапқы нұсқамен салыстырыңыз.
5. Жұқтырылған файлдарды анықтау үшін сервердің қолжетімділік журналдарын талдаңыз.

Тазаланған файлдардың zip-архивін жасаңыз.

Серверде жұмыс

1. HTTP 503 (Service Unavailable) коды бар плейсхолдер қосып, IP арқылы қолжетімділікті шектеңіз.
2. Барлық құпиясөздерді өзгертіңіз: басқару панелі, дерекқор, FTP және электрондық пошта аккаунттары үшін.
3. Ескі дерекқорды жойып, тазартылған көшірмені импорттаңыз.
4. Барлық сайт файлдарын, image қалтасын және плейсхолдерді қоспағанда, хостингтен жойыңыз. image қалтасында тек сурет емес файлдарды жойыңыз.
5. Тазаланған файлдарды серверге жүктеп, конфигурациялық файлдардағы құпиясөздерді жаңартыңыз.
6. Әкімшілік панельге кіріп, модификаторларды жаңартыңыз.
7. Әкімшілік панельді қосымша HTTP аутентификациясымен қорғаңыз.
8. Сұрауларды тіркеуді қосыңыз және файл өзгерістерін бақылау үшін PHP скриптін орнатыңыз.

Қазіргі ботнеттер файлдарды жойғаннан кейін "тығылуы" мүмкін екенін есте сақтаңыз. Қайта жұқтыруды дер кезінде анықтау үшін бақылау мерзімін ұзарту ұсынылады.

Жалпы ұсыныстар

• Пираттық бағдарламалық жасақтаманы қолданбаңыз. Сатушының заңдылығын осы жерден тексеруге болады.
• Күрделі құпиясөздерді жасаңыз немесе генераторларды пайдаланыңыз.
• Әдепкі пайдаланушы аттарын қолданбаңыз, мысалы, "admin".
• Мердігерлер үшін бөлек аккаунттар жасаңыз және жұмыс аяқталғаннан кейін оларды өшіріңіз.
• Файлдардың өзгеруін қадағалаңыз.
• Тұрақты резервтік көшірмелер жасап, олардың жұмысқа жарамдылығын тексеріңіз.

OpenCart үшін

OpenCart үшін FSMonitor модулін ұсынамын. Ол жаңа, өзгертілген және жойылған файлдарды бақылауға мүмкіндік береді. Модульді Cron жоспарлағышымен автоматты түрде орындауға баптауға болады және өзгерістер туралы хабарламалар аласыз. Сондай-ақ, мердігерлер өзгерткен файлдарды қолмен тексеруге болады. Модульді осы жерден жүктеуге болады.