Website desfigurado, o que posso fazer?

Navegue suas respostas
10

O site da minha empresa foi desfigurado, desde que eu tenha o log de acesso bruto do apache, há algo que eu possa fazer para analisar quando e o que deu errado?

Eu quero dizer o que procurar entre todos aqueles milhares e milhares de linhas de log?

Obrigado pela ajuda

    
por SteD 27.05.2010 / 05:12

3 respostas

4
A resposta de

Daisetsu está nas linhas certas.
Mas você pode conseguir fazer algumas análises sem contratar uma exportação em tempo integral também. Estou adicionando alguns links para artigos curtos que lhe darão a essência do que pode ser feito.

  1. Perguntas sobre a entrevista de segurança da Web em WebAppSec
  2. Usando seus registros do servidor da web para encontrar sites comprometidos servidores na DigitalOffencive
  3. Que fazer depois de um Web Site Defacement ?

Sugestão: Mover esta questão para o ServerFault pode obter respostas mais diretas sobre o que pode ser feito.

    
por 27.05.2010 / 05:26
4

Quando um sistema é comprometido / desfigurado você nunca tem certeza se tudo foi limpo e IMHO a melhor solução é sempre reinstalá-lo, mas você precisa fazer alguns forense para entender o que aconteceu e impedir que isso aconteça novamente.

Aqui está uma lista de coisas importantes para verificar:

  • dê uma olhada em todos os arquivos de log que você puder, especialmente no servidor da web e no sistema. Nos arquivos de log do servidor web, verifique se há postagens
  • execute verificadores de rootkits. Eles não são infalíveis, mas podem levá-lo na direção certa. chkrootkit e especialmente rkhunter são as ferramentas para o trabalho
  • execute nmap de fora do seu servidor e verifique se há algo escutando em qualquer porta que não deveria ser
  • se você tiver um aplicativo de tendências rrdtool (como Cacti, Munin ou Ganglia), dê uma olhada nos gráficos e procure um possível período de tempo do ataque.
  • verifique a versão do seu servidor da web e veja se há problemas de segurança conhecidos.

Além disso, mantenha sempre em mente:

  • encerre os serviços de que você não precisa
  • teste backups regularmente
  • siga o princípio de privilégio mínimo
  • atualize seus serviços, especialmente em relação a atualizações de segurança
  • não use credenciais padrão

Espero que isso ajude.

    
por 27.05.2010 / 15:06
1

Sim, isso é conhecido como Network Forensics. Essencialmente, ele está procurando por logs de rede e de servidor para encontrar a origem do ataque e o que foi comprometido. Para fazer isso, você geralmente precisa de um especialista forense, e mesmo quando você descobre o que aconteceu, o pior que você pode fazer é processar o agressor ou levá-lo a um crime. Um desfiguramento na web realmente não é visto como um crime enorme, a menos que houvesse dinheiro perdido pela empresa como resultado do ataque. Se for sério, você deve entrar em contato com a autoridade apropriada e eles ajudarão na coleta de provas. Aqui está uma lista de quem contatar para crimes cibernéticos. link   Além disso, isso não conta como aconselhamento jurídico.

    
por 27.05.2010 / 05:18

Tags

O que causa o erro 1062 do MySQL - entrada duplicada ao iniciar o escravo? monowall vs pfsense