Восстановление и разблокировка корпоративного сайта после заражения

Сайт был заблокирован Национальным координационным центром по компьютерным инцидентам (НКЦКИ) — его использовали злоумышленники для проведения атак, из-за чего ресурс признали угрозой безопасности.

Компания столкнулась с полной недоступностью ресурса: онлайн-заказы были остановлены, а трафик и доходы резко снизились.

Задача

Команде технической поддержки необходимо было:

✔️провести диагностику и определить причину заражения;

✔️устранить вредоносный код и уязвимости;

✔️восстановить безопасность ресурса;

✔️добиться официальной разблокировки сайта НКЦКИ.

Мы выстроили стратегию восстановления сайта в три направления:

1️⃣ Аналитика и диагностика. Определили источник заражения и оценили масштаб ущерба, чтобы исключить повторное срабатывание угроз.

2️⃣ Техническое восстановление. Очистили код, удалили вредоносные файлы и усилили защиту на уровне сервера и CMS.

3️⃣ Взаимодействие с регулятором. Подготовили обоснование для НКЦКИ с подтверждением безопасности ресурса и запросом на разблокировку.

Главная цель стратегии — не просто снять блокировку, а вернуть сайт в стабильное и безопасное состояние, соответствующее требованиям законодательства о критической информационной инфраструктуре.

Что сделали:

✔️ Зафиксировали инцидент: собрали логи сервера/веб-сервера, отчёты антивируса, уведомления хостинга и НКЦКИ.

✔️ Перевели сайт в ограниченный режим (изоляция от публичного доступа, бэкап текущего состояния).

✔️ Провели сигнатурный и поведенческий анализ файловой системы и БД: выявили подмену index-файлов, изменения в .htaccess, наличие web-shell’ов/нетипичных скриптов.

Зачем: сохранить доказательную базу, ограничить распространение заражения и понять вектор атаки, чтобы не пропустить скрытые закладки и повторную компрометацию.

Что сделали:

✔️ Удалили вредоносный код из заражённых файлов, устранили нетипичные файлы (шеллы), восстановили корректные версии системных и индексных файлов.

✔️ Очистили и переписали .htaccess, убрав редиректы/правила, открывающие доступ злоумышленникам.

✔️ Провели дифф-сравнение с эталонной копией и контрольными суммами, точечно восстановили оригинальные шаблоны/библиотеки.

Зачем: вернуть сайт в изначально работоспособное и безопасное состояние, исключив повторную активацию вредоносных вставок.

Что сделали:

✔️ Обновили CMS/ядро/модули/зависимости до актуальных безопасных версий.

✔️ Ограничили опасные POST-запросы в критических файлах/эндпойнтах (в т.ч. админ-зоны, загрузчики, API).

✔️ Сменили и ротировали все пароли (хостинг, SFTP/SSH, БД, CMS), пересоздали ключи.

✔️ Существенно ужесточили права на файлы/папки, отключили лишние PHP-функции/модули, закрыли доступ к служебным директориям.

✔️ Настроили базовые политики безопасности: заголовки (CSP, X-Frame-Options, X-Content-Type-Options, HSTS), ограничение по IP для админки/панелей.

Зачем: ликвидировать первопричину компрометации и создать «многоуровневую» защиту, чтобы блокировать повторные атаки.

Что сделали:

✔️ Подготовили пакет доказательств: перечень выполненных работ, логи, результаты сканов, сведения об обновлениях и усилении защиты.

✔️ Направили официальное обращение в НКЦКИ с запросом на снятие блокировки.

✔️ Синхронизировались с хостинг-провайдером по процедуре восстановления доступа.

Зачем: подтвердить устранение угроз и соблюдение требований регулятора для легального и безопасного возврата сайта в сеть.

Заказчик получил восстановленный и готовый к работе сайт, клиенты компании получили снова возможность онлайн заказов необходимых товаров.