Apie AGuard

Svetainių saugumas —
nuo dizaino iki branduolio.

17+ metų internete: dizainas, SEO, kūrimas, serveriai. Kai dirbi su svetainių kūrimu iš vidaus, saugumas nebėra abstraktus — žinai konkrečias vietas, kurios paprastai lieka nepatikrintos.

2008–

Web dizainas ir SEO

~2012

Programavimas ir kūrimas

~2015

Serverių administravimas

Šiandien

Svetainių saugumas

2008

Darbo internete pradžia

Dizainas, SEO, kūrimas, saugumas

17+

Metų web-stack patirtis

Visas stack'as — ne tik saugumas

13 000+

Svetainių per vieną incidentą

Vienas iš sudėtingiausių atvejų

0

Paskelbtų klientų

Incidentas — privatus įvykis, ne portfolio

Kas esame

Ne tik saugumo specialistai.
Web kūrėjai, suprantantys ataką iš vidaus.

2008-aisiais dirbome su dizainu ir SEO. Vėliau — kūrimas, programavimas, serverių administravimas. Į saugumą įžengėme per praktiką: kai pats kūrei svetainę, žinai, kur tipiškai lieka neuždaryta prieiga.

Dažniausiai pas mus kreipiasi įmonių vadovai ir IT atsakingieji, kurių svetainės buvo užkrėstos — ir jie nežino, ar hostingas viską išvalė, ar tik paviršių. Dirbame tiesiogiai su klientu, be tarpininkų: vienas atsakingas žmogus, konkreti ataskaita po darbo.

Dirbame su klientais visoje Lietuvoje ir Europoje. Visus darbus atliekame nuotoliniu būdu. Jūsų serverio fizinė vieta — nesvarbu.

AGuard darbo aplinka — saugumo analizė

"Kai žinai, kaip svetainė sukurta —
matai ir kur ji labiausiai pažeidžiama."

AGuard — 17+ metų web patirtis

Iš praktikos

13 000 svetainių. Dvi savaitės valymo.
Vienas atidarytas prievadas.

Čekijos hostingo serveris, kurį kompromitavo pašaliniai: kelios nesusijusios klaidos vienu metu, kiekviena atskirai neatrodė kritinė. Kaip visa grandinė susijungė — matoma žemiau. Mes buvome kviesti išvalyti pasekmę.

01Pradinė įėjimo vieta

Pasenęs WordPress su neatnaujintu papildiniu.

02Duomenų bazės kredencialai

Atvirtas 3306 prievadas svečiams + atsarginė kopija wp-config.php.back viešajame kataloge — prisijungimo duomenys prieinami be autentifikacijos.

03Administratoriaus paskyra ir backdoor

Duomenų bazėje sukurtas administratoriaus vartotojas. Per WP administratorių įkeltas backdoor failas.

04Privilegijų eskalavimas iki root

Copy-on-Write branduolio pažeidžiamumas (neatnaujintas Linux branduolys) — iš svetainės vartotojo iki serverio administratoriaus.

05Masinis visų svetainių kompromitavimas

Prieiga prie visų 13 000+ svetainių serveryje. Į kiekvieną įkeltas backdoor, įterpiantis peradresavimo kodą.

06Rezultatas: kazino peradresavimai. Valymas — dvi savaitės.

Visos svetainės lankytojus iš paieškos sistemų nukreipia į nelegalų kazino. SEO žlugimas, reputacijos žala, hostingo baudos.

Pamoka: kiekvienas nesaugus komponentas — atvirtas prievadas, pasenęs branduolys, viešai prieinamas atsarginės kopijos failas — yra potencialus tiltas į visą infrastruktūrą. Ypač kai serveryje veikia kelių klientų svetainės, o jose saugomi klientų duomenys.

Sudėtingi atvejai

Kai incidentas nestandartinis

Kelios vienu metu užkrėstos svetainės, grupinis hostingas su dešimtimis klientų, gilus įsilaužimas su paslėptų prieigų grandinėmis — tokie atvejai reikalauja sisteminio požiūrio, ne greito pataisymo.

Sprendimas priimamas po pilnos analizės: failų sistema, duomenų bazė, cron, serverio konfigūracija, žurnalai. Tik tada — valymas ir prevencija.

Sudėtingų incidentų analizė

Metodika

Antivirusinė programa
ieško parašų.
Mes ieškome logikos.

Automatinis skenavimas aptinka žinomus kenkėliško kodo variantus. Patyręs užpuolikas to naudojasi — paliks prieigą ten, kur skenavimo įrankis neieško. Tikriname logiką: ar prieiga gali atsistatyti, kokie pakeitimai atlikti duomenų bazės administratorių sąraše, ar .htaccess perrašo naršyklės užklausas.

Be slaptažodžio veikiančios SSH prieigos

Raktų poros, paliktos praėjusio įsilaužimo

Cron užduotys, atkuriančios backdoor failą

Kas kelias minutes — net po išvalymo

PHP kodas JPEG ar PNG metaduomenyse

Skenai tikrina plėtinius, ne failų turinį

Kenkėjiški fragmentai teisėtuose papildiniuose

Viena eilutė tarp 4 000 realaus kodo eilučių

Modifikacijos sisteminiame CMS kode

Core files — paskutinė vieta, kur ieško skenai

Atvirų prieigų likučiai po senos infekcijos

Hostingas išvalė — bet ne iki galo

Kaip dirbame

Principai, kurių nekeičiame

Aiški kaina prieš darbą

Įvertiname situaciją, pasakome kainą, tik tada pradedame. Be staigmenų sąskaitoje.

Prieigos perdavimas tik saugiu kanalu

Slaptažodžius priimame tik suderintu saugiu būdu — per šifruotą vienkartinę nuorodą arba SSH raktus. Konkretų kanalą aptariame prieš darbą.

Ataskaita po kiekvieno darbo

Kas buvo rasta, kas pašalinta, kokie pakeitimai atlikti — viskas dokumentuojama.

Klientų konfidencialumas

Klientų vardų neskelbiame. Saugumo incidentas yra privatus jūsų verslo įvykis, ne mūsų rinkodaros medžiaga.

Specializacija

Žinome savo sritį. Ir jos ribas.

Mūsų sritis

Dirbame su

  • PHP / MySQL pagrindo svetainės ir el. parduotuvės
  • Node.js ir modernios web aplikacijos
  • Bet koks hostingas — Lietuva, Europa, pasaulis
  • Cloudflare, WAF konfigūravimas ir stebėsena

Ne mūsų sritis

Čia nenukreipsime klaidingai

  • Penetracijos testai ir Red Team operacijos
  • GDPR ir teisinis atitikties konsultavimas
  • Ransomware derybos
  • Korporatyvinis IT saugumas (Active Directory, SOC)

Įmonės rekvizitai

Pavadinimas

AGuard

IV pažyma Nr.

1163642

Pradėkime

Turite klausimų ar specifinę situaciją?

Aprašykite, kas vyksta — atsakysime per darbo dieną.