Właśnie otworzyliśmy nową ofertę dedykowaną Incident Response dla środowisk Magento 2 na OpenLiteSpeed i Linux VPS. Decyzja nie była przypadkowa – niedawno mieliśmy okazję zmierzyć się z poważnym incydentem bezpieczeństwa na własnym serwerze i chcemy się tymi doświadczeniami podzielić.
Co się stało?
Złośliwy kod infiltrował nasz VPS, pozostawiając po sobie persistence – czyli możliwość utrzymania dostępu. Problem polegał na tym, że zainfekowany plik cały czas nadpisywał inne pliki, tworząc nowe webshelle nawet po usunięciu starych. To typowy scenariusz, w którym naiwne usunięcie pliku nie rozwiązuje problemu.
Jak to rozwiązaliśmy w 2 dni?
1. Zmiana uprawnień do plików Ograniczyliśmy prawa dostępu – zapewniając, że tylko proces webservera może je czytać, a nie wszystkie pliki mogą być zapisywane przez zainfekowany kod. To pierwsza linia obrony.
2. Wgrywanie nowych, czystych plików Przywróciliśmy oryginalne pliki Magento 2 z wiarygodnych źródeł, zastępując zainfekowane wersje.
3. Głębokie skanowanie Użyliśmy dedykowanych narzędzi do skanowania całego systemu plików w poszukiwaniu pozostałości malware’u – widocznych i ukrytych.
4. Rekonfiguracja firewall’a Wzmocniliśmy reguły firewall’a, ograniczając niepotrzebne połączenia wychodzące (które mogły służyć do spamu czy komunikacji z C&C).
5. Analiza logów i audyt Przeanalizowaliśmy logi dostępu, błędów i cron’ów, aby zidentyfikować wektor wejścia i upewnić się, że nie ma dalszych backdoorów.
6. Hardening konfiguracji Dostosowaliśmy konfigurację OpenLiteSpeed, PHP i Linux do best practices bezpieczeństwa – wyłączenie niebezpiecznych funkcji PHP, ograniczenie uploadów, wzmocnienie ustawień dostępu.
Dlaczego to było trudne?
Persistence to zdradliwa rzecz. Jeśli nie znasz dokładnie, gdzie malware się ukrywa i jak się regeneruje, możesz usunąć główny plik, a problem wróci w godzinę. Wymagało to systematycznego podejścia, monitorowania logów w czasie rzeczywistym i przetestowania każdego kroku.
Co oferujemy teraz?
Na bazie tego doświadczenia przygotowaliśmy kompleksowy pakiet Incident Response, który obejmuje:
- Natychmiastową izolację środowiska
- Forensyczną analizę zakresu kompromitacji
- Identyfikację wektora wejścia
- Usuwanie malware’u z gwarancją trwałości
- Pełny hardening środowiska
- Monitorowanie post-incident
Wiemy, że to trudne – bo sami to przeszliśmy. Ale wiemy też, że się da.
Jeśli zmagasz się z podobnym problemem, skontaktuj się z nami.