Apie AGuard
Svetainių saugumas —
nuo dizaino iki branduolio.
17+ metų internete: dizainas, SEO, kūrimas, serveriai. Kai dirbi su svetainių kūrimu iš vidaus, saugumas nebėra abstraktus — žinai konkrečias vietas, kurios paprastai lieka nepatikrintos.
2008–
Web dizainas ir SEO
~2012
Programavimas ir kūrimas
~2015
Serverių administravimas
Šiandien
Svetainių saugumas
2008
Darbo internete pradžia
Dizainas, SEO, kūrimas, saugumas
17+
Metų web-stack patirtis
Visas stack'as — ne tik saugumas
13 000+
Svetainių per vieną incidentą
Vienas iš sudėtingiausių atvejų
0
Paskelbtų klientų
Incidentas — privatus įvykis, ne portfolio
Kas esame
Ne tik saugumo specialistai.
Web kūrėjai, suprantantys ataką iš vidaus.
2008-aisiais dirbome su dizainu ir SEO. Vėliau — kūrimas, programavimas, serverių administravimas. Į saugumą įžengėme per praktiką: kai pats kūrei svetainę, žinai, kur tipiškai lieka neuždaryta prieiga.
Dažniausiai pas mus kreipiasi įmonių vadovai ir IT atsakingieji, kurių svetainės buvo užkrėstos — ir jie nežino, ar hostingas viską išvalė, ar tik paviršių. Dirbame tiesiogiai su klientu, be tarpininkų: vienas atsakingas žmogus, konkreti ataskaita po darbo.
Dirbame su klientais visoje Lietuvoje ir Europoje. Visus darbus atliekame nuotoliniu būdu. Jūsų serverio fizinė vieta — nesvarbu.
Iš praktikos
13 000 svetainių. Dvi savaitės valymo.
Vienas atidarytas prievadas.
Čekijos hostingo serveris, kurį kompromitavo pašaliniai: kelios nesusijusios klaidos vienu metu, kiekviena atskirai neatrodė kritinė. Kaip visa grandinė susijungė — matoma žemiau. Mes buvome kviesti išvalyti pasekmę.
01 — Pradinė įėjimo vieta
Pasenęs WordPress su neatnaujintu papildiniu.
02 — Duomenų bazės kredencialai
Atvirtas 3306 prievadas svečiams + atsarginė kopija wp-config.php.back viešajame kataloge — prisijungimo duomenys prieinami be autentifikacijos.
03 — Administratoriaus paskyra ir backdoor
Duomenų bazėje sukurtas administratoriaus vartotojas. Per WP administratorių įkeltas backdoor failas.
04 — Privilegijų eskalavimas iki root
Copy-on-Write branduolio pažeidžiamumas (neatnaujintas Linux branduolys) — iš svetainės vartotojo iki serverio administratoriaus.
05 — Masinis visų svetainių kompromitavimas
Prieiga prie visų 13 000+ svetainių serveryje. Į kiekvieną įkeltas backdoor, įterpiantis peradresavimo kodą.
06 — Rezultatas: kazino peradresavimai. Valymas — dvi savaitės.
Visos svetainės lankytojus iš paieškos sistemų nukreipia į nelegalų kazino. SEO žlugimas, reputacijos žala, hostingo baudos.
Pamoka: kiekvienas nesaugus komponentas — atvirtas prievadas, pasenęs branduolys, viešai prieinamas atsarginės kopijos failas — yra potencialus tiltas į visą infrastruktūrą. Ypač kai serveryje veikia kelių klientų svetainės, o jose saugomi klientų duomenys.
Sudėtingi atvejai
Kai incidentas nestandartinis
Kelios vienu metu užkrėstos svetainės, grupinis hostingas su dešimtimis klientų, gilus įsilaužimas su paslėptų prieigų grandinėmis — tokie atvejai reikalauja sisteminio požiūrio, ne greito pataisymo.
Sprendimas priimamas po pilnos analizės: failų sistema, duomenų bazė, cron, serverio konfigūracija, žurnalai. Tik tada — valymas ir prevencija.
Metodika
Antivirusinė programa
ieško parašų.
Mes ieškome logikos.
Automatinis skenavimas aptinka žinomus kenkėliško kodo variantus. Patyręs užpuolikas to naudojasi — paliks prieigą ten, kur skenavimo įrankis neieško. Tikriname logiką: ar prieiga gali atsistatyti, kokie pakeitimai atlikti duomenų bazės administratorių sąraše, ar .htaccess perrašo naršyklės užklausas.
Be slaptažodžio veikiančios SSH prieigos
Raktų poros, paliktos praėjusio įsilaužimo
Cron užduotys, atkuriančios backdoor failą
Kas kelias minutes — net po išvalymo
PHP kodas JPEG ar PNG metaduomenyse
Skenai tikrina plėtinius, ne failų turinį
Kenkėjiški fragmentai teisėtuose papildiniuose
Viena eilutė tarp 4 000 realaus kodo eilučių
Modifikacijos sisteminiame CMS kode
Core files — paskutinė vieta, kur ieško skenai
Atvirų prieigų likučiai po senos infekcijos
Hostingas išvalė — bet ne iki galo
Kaip dirbame
Principai, kurių nekeičiame
Aiški kaina prieš darbą
Įvertiname situaciją, pasakome kainą, tik tada pradedame. Be staigmenų sąskaitoje.
Prieigos perdavimas tik saugiu kanalu
Slaptažodžius priimame tik suderintu saugiu būdu — per šifruotą vienkartinę nuorodą arba SSH raktus. Konkretų kanalą aptariame prieš darbą.
Ataskaita po kiekvieno darbo
Kas buvo rasta, kas pašalinta, kokie pakeitimai atlikti — viskas dokumentuojama.
Klientų konfidencialumas
Klientų vardų neskelbiame. Saugumo incidentas yra privatus jūsų verslo įvykis, ne mūsų rinkodaros medžiaga.
Specializacija
Žinome savo sritį. Ir jos ribas.
Mūsų sritis
Dirbame su
- PHP / MySQL pagrindo svetainės ir el. parduotuvės
- Node.js ir modernios web aplikacijos
- Bet koks hostingas — Lietuva, Europa, pasaulis
- Cloudflare, WAF konfigūravimas ir stebėsena
Ne mūsų sritis
Čia nenukreipsime klaidingai
- Penetracijos testai ir Red Team operacijos
- GDPR ir teisinis atitikties konsultavimas
- Ransomware derybos
- Korporatyvinis IT saugumas (Active Directory, SOC)
Įmonės rekvizitai
Pradėkime
Turite klausimų ar specifinę situaciją?
Aprašykite, kas vyksta — atsakysime per darbo dieną.



