Web sitesi tahrif edildi, ne yapabilirim?

10

Apache ham erişim günlüğüm varsa, şirketimin web sitesi tahrif edildi, ne zaman ve neyin yanlış gittiğini analiz etmek için yapabileceğim bir şey var mı?

Yani bu binlerce ve binlerce günlük satır arasında nelere dikkat etmeliyim?

Yardım için teşekkürler

apache-2.2  security  forensics 
STED'i
kaynak

Yanıtlar:

4

Daisetsucevabı doğru satırlarda.
Ancak, tam zamanlı bir dışa aktarma yapmadan da bazı analizler yapabilirsiniz.
Size yapılabilecek şeylerin özünü verecek kısa makalelere birkaç bağlantı ekliyorum.

  1. WebAppSec'te Web Güvenliği Görüşme Soruları
  2. DigitalOffencive'de güvenliği ihlal edilmiş web sunucularını bulmak için web sunucusu günlüklerinizi kullanma
  3. Bir Web Sitesi Defacement sonra ne yapmalı ?

Öneri: Bu soruyu ServerFault'a taşımak, neler yapılabileceğine dair daha yönlendirilmiş yanıtlar alabilir.

nik
kaynak
Bağlantılar ve öneriler için teşekkürler, bunu ServerFault'a nasıl taşıyabilirim? Serverfault bunu sormak için en uygun yer gibi görünüyor
SteD
@SteD, Oraya gönderebilirdin. Ancak, şimdi ikinci bir gönderme yapmayın :-)Zaten oraya taşındı, bunun için toplam 5 oy gerekiyor. Benimkine ekledim - diğerleri yardım edecek.
nik
4

Bir sistem tehlikeye girdiğinde / tahrif edildiğinde, her şeyin temizlendiğinden asla emin olamazsınız ve IMHO her zaman yeniden yüklemek için en iyi çözümdür, ancak ne olduğunu anlamak ve tekrar olmasını önlemek için bazı adli tıp yapmanız gerekir.

Kontrol edilecek önemli şeylerin bir listesi:

  • yapabileceğiniz her günlük dosyasına, özellikle de web sunucusu ve sistem günlüklerine göz atın. Web sunucusu günlük dosyalarında yayınları kontrol edin
  • rootkit denetleyicilerini çalıştırın. Yanılmaz değiller ama sizi doğru yöne yönlendirebilirler. chkrootkit ve özellikle rkhunter iş için araçlar
  • nmap'i sunucunuzun dışından çalıştırın ve herhangi bir bağlantı noktasında dinlenmesi gerekmeyen bir şey olup olmadığını kontrol edin
  • Eğer bir rrdtool trend uygulamanız varsa (Kaktüsler, Munin veya Ganglia gibi) grafiklere bakın ve atack'in olası bir zaman aralığını arayın.
  • web sunucunuzun sürümünü kontrol edin ve bununla ilgili bilinen güvenlik sorunları olup olmadığına bakın.

Ayrıca, her zaman bunun akılda kalmasını sağlayın:

  • ihtiyacın olmayan hizmetleri kapat
  • yedeklemeleri düzenli olarak test etme
  • en az ayrıcalık ilkesine uyun
  • özellikle güvenlik güncellemeleriyle ilgili olarak hizmetlerinizi güncelleyin
  • varsayılan kimlik bilgilerini kullanma

Bu yardımcı olur umarım.

Marco Ramos
kaynak
1
+1, güvenliği ihlal edildiğinde "yeni" içeriğin bir kopyasını kaydedin ve her şeyi bir yedeklemeden geri yükleyin. ( İyi yedekleri tutmak için sadece bir neden daha ).
Chris S
1

Evet, Ağ Adli Tıp olarak bilinir. Temelde saldırının kaynağını ve neyin zarar gördüğünü bulmak için ağ ve sunucu günlüklerine bakmaktadır. Bunu yapmak için genellikle bir adli tıp uzmanına ihtiyacınız vardır ve ne olduğunu öğrenseniz bile, yapabileceğiniz en kötü şey saldırganı dava etmek veya suç işlemekle suçlamaktır. Bir web tahrifatı gerçekten büyük bir suç olarak görülmez, yani saldırı sonucu şirket tarafından para kaybı olmadıkça. Eğer ciddiyse, ilgili makamla iletişime geçmelisiniz ve kanıtların toplanmasına yardımcı olacaklardır. İşte siber suç için kiminle temasa geçeceğinizin listesi. http://www.justice.gov/criminal/cybercrime/reporting.htm Ayrıca bu yasal tavsiye olarak sayılmaz.

Daisetsu
kaynak
3
Apache günlüklerini analiz etmek için neden adli tıp uzmanına ihtiyacınız var? Linux ve Apache hakkında yeterli bilgi birikimi yeterli nitelik olmalıdır.
MDMarra
1
Yasal açıdan konuşuyordum. Bazı gayrı bir daha gözden geçirme istiyorsanız o zaman günlükleri önünde koydu adam.
@Daisetu - OP, saldırganın yasal yansımaları hakkında hiçbir şey söylemedi. Neyin yanlış gittiğini bulmak için neyi arayacağını sordu.
MDMarra
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.