Hack i aktualizacja VPSa

Wpisując w przeglądarce adres własnej strony www, na ogół nie spodziewam się, że otrzymam komunikat 404. Jakież było moje zaskoczenie, gdy właśnie to wyświetliło mi się kilka dni temu. Od razu przystąpiłem do analizy sytuacji i natknąłem się na nieznane pliki na moim VPSie. Wniosek był prosty — zostałem zhackowany. 

Po dokonaniu szybkich oględzin serwera stwierdziłem, że serwisy, które miałem tam wystawione nie ucierpiały i najprawdopodobniej nie nastąpił wyciek danych. Zmienione zostały tylko pliki konfiguracyjne i nadgrane konfiguracje, przez co serwer, zamiast wyświetlać moje serwisy, wyświetlał informację o braku strony. Postanowiłem, że nie będę zbyt mocno angażował się w przywrócenie wcześniejszej konfiguracji i po prostu przeinstaluję całego VPS. Niestety, z racji tego, że należę do osób, które nie robią regularnych kopii zapasowych, przed wdrożeniem planu w życie musiałem przywrócić działanie aplikacji i zrobić ich backup. Był to trochę frustrujący proces, jednak nie zajął przesadnie zbyt dużej ilości czasu i zakończył się pełnym sukcesem, w związku z czym mogłem przejść do reinstalacji. Poniżej przedstawiam, co zostało zaktualizowane i jakie problemy napotkałem.

Serwer — aktualizacja Ubuntu z wersji 18.04 na 20.04, która przebiegła bezproblemowo.

Baza danych — MySQL — podniesienie z wersji 5.7 do wersji 8.0. Tutaj problemem była moja nieznajomość narzędzi i problem z połączeniem do nowej wersji 8.0 za pomocą MySQL Workbench. Z pomocą przyszło mi narzędzie DBeaver, które nie miało problemu zarówno z połączeniem do starej jak i nowej wersji bazy oraz z migracją tabel. Ważną uwagą do zapamiętania podczas eksportu danych jest sprawdzenie, czy wszystkie rekordy z tabel wyeksportowały się poprawnie. Piszę o tym, ponieważ niektóre narzędzia domyślnie poza strukturą tabeli eksportują tylko pierwszy wiersz danych, warto o tym pamiętać i zwracać na to uwagę.

WordPress — migracja kontenerów dockera z wersji latest na wersję 5.9.  Ten proces również przebiegł bezproblemowo, co było ogromną zasługą wtyczki All-in-One WP Migration. Dzięki niej migracja przebiegła bezproblemowo, dlatego mam zamiar wykorzystywać ją również do tworzenia regularnych kopii bezpieczeństwa witryny.

Traefik — proxy oraz certyfikaty SSL. Tutaj pojawiły się problemy podczas tworzenia certyfikatów SSL dla serwisów. Rozwiązanie okazało się banalnie proste. Wystarczyło oprzeć generowanie certyfikatu na TLS, a nie jak początkowo próbowałem na rekordach DNS. Problem z rekordami DNS wynikał z tego, że posiadałem dwie domeny u tego samego dostawcy — taka sytuacja nie jest aktualnie obsługiwana przez to narzędzie.
Całość udało się dość szybko rozgryźć dzięki pomocy Marka, za co serdecznie dziękuję!

Dodatkowo wzbogaciłem serwer o dostarczane przez dostawcę narzędzie do monitorowania oraz wyczyściłem ze starych i nieużywanych aplikacji, co wiązało się również z porządkami w konfiguracji.

Dodatkowo poświeciłem również trochę czasu, żeby odświeżyć wygląd bloga, który mam nadzieję, przypadnie czytelnikom do gustu. Mogę powiedzieć, że włamanie, które wynikało z mojego zaniedbania, spowodowało aktualizacje całego ekosystemu oraz zwrócenie mojej uwagi na temat zabezpieczeń, oraz kopii zapasowych. Proces reinstalacji i uruchomienia wszystkiego na nowo zajął mi całościowo około 24h pracy. Dzięki nabytemu doświadczeniu oraz zmianom w konfiguracji, przy kolejnej takiej potrzebie powinien być znacznie przyjemniejszy.

Wniosek z tej sytuacji jest taki, że warto pamiętać o aktualizacji systemów operacyjnych i narzędzi, które wykorzystujemy. Należy tworzyć kopie zapasowe, oraz od czasu do czasu przetestować procedurę Disaster Recovery, a przynajmniej posiadać jej plan.