Сайт испорчен, что я могу сделать?

10

Веб-сайт моей компании был поврежден при условии, что у меня есть журнал доступа apache raw. Могу ли я что-нибудь сделать, чтобы проанализировать, когда и что пошло не так?

Я имею в виду, что нужно искать среди всех этих тысяч и тысяч строк журнала?

Спасибо за помощь

apache-2.2 security forensics STED
источник

Ответы:

4

Daisetsuответ на правильных линиях.
Но, возможно, вы сможете выполнить некоторый анализ, не нанимая полный экспорт тоже.
Я добавляю пару ссылок на короткие статьи, которые помогут вам понять, что можно сделать.

  1. Интервью по веб-безопасности на WebAppSec
  2. Использование журналов веб-сервера для поиска скомпрометированных веб-серверов в DigitalOffencive
  3. Что делать после порчи сайта ?

Предложение. Перемещение этого вопроса в ServerFault может дать более точные ответы на вопрос, что можно сделать.

Nik
источник
Спасибо за ссылки и предложения, как я могу переместить это в ServerFault? кажется Serverfault это самое подходящее место, чтобы спросить это
SteD
@SteD, вы могли бы опубликовать это там. Но, теперь не делайте вторую публикацию. :-)Она уже перемещена туда, для этого нужно всего 5 голосов. Я добавил в мой - другие помогут.
Ник
4

Когда система скомпрометирована / деформирована, вы никогда не уверены, что все было очищено, и ИМХО, лучшее решение - это всегда переустанавливать ее, но вам нужно провести некоторую экспертизу, чтобы понять, что произошло, и предотвратить повторение.

Вот список важных вещей для проверки:

  • взгляните на все журналы, которые вы можете, особенно на веб-сервер и системные файлы. В лог-файлах веб-сервера проверьте сообщения
  • запустить руткит-шашки. Они не являются непогрешимыми, но могут привести вас в правильном направлении. chkrootkit и особенно rkhunter - инструменты для работы
  • Запустите Nmap вне вашего сервера и проверьте, есть ли что-то прослушивание на любом порту, который не должен быть
  • Если у вас есть приложение для анализа трендов rrdtool (например, Cacti, Munin или Ganglia), взгляните на графику и найдите возможные временные рамки атаки.
  • проверьте версию своего веб-сервера и посмотрите, есть ли в ней известные проблемы безопасности.

Кроме того, всегда имейте это в виду:

  • закройте службы, которые вам не нужны
  • проверять резервные копии на регулярной основе
  • следовать принципу наименьших привилегий
  • обновите свои услуги, особенно в отношении обновлений безопасности
  • не используйте учетные данные по умолчанию

Надеюсь это поможет.

Марко Рамос
источник
1
+1, при взломе сохраните копию «нового» контента и восстановите все из резервной копии. (Еще одна причина, чтобы сохранить хорошие резервные копии ).
Крис С
1

Да, это называется Сетевая криминалистика. По сути, он просматривает журналы сети и сервера, чтобы найти источник атаки и то, что было рассмотрено. Для этого вам обычно нужен судебный эксперт, и даже когда вы узнаете, что произошло, самое худшее, что вы можете сделать, - это подать в суд на злоумышленника или привлечь его к уголовной ответственности. Интернет-порча действительно не считается огромным преступлением, если только компания не потеряла деньги в результате атаки. Если это серьезно, вам следует обратиться в соответствующие органы, и они помогут вам собрать доказательства. Вот список тех, к кому обращаться за киберпреступностью. http://www.justice.gov/criminal/cybercrime/reporting.htm Также это не считается юридической консультацией.

Daisetsu
источник
3
Зачем вам нужен судебный эксперт для анализа логов Apache? Знание Linux и Apache должно быть достаточно квалифицированным.
MDMarra
1
Я говорил с юридической точки зрения. Если вы хотите какой-то неофициальный обзор, поместите журналы перед тем парнем.
@Daisetu - ОП ничего не сказал о юридических последствиях для злоумышленника. Он специально спросил, что искать, чтобы узнать, что пошло не так.
MDMarra