Eu herdei um servidor da Web que foi comprometido. Tentando descobrir por que o apache estava travando e as causas da alta carga do servidor, encontrei várias cópias do perlbot 4.5 em / tmp. Agora estou tentando descobrir como eles entraram na máquina para que eu possa fechar o (s) furo (s). Eu tenho olhado para vários scanners, o nessus parece legal, e eu fiz uma varredura na máquina e em um dos sites hospedados. Mas há algumas centenas de sites, muitos para qualquer um saber o ins & Fora de todos eles, e eu sou novo aqui, então eu realmente não tenho ideia do que eles podem estar fazendo. A digitalização de cada site é a melhor opção?
Como você verificaria tantos sites na mesma máquina quanto a problemas?
EDITADO PARA ADICIONAR: estamos limpando tudo e restaurando das cópias de segurança. O que é bom, mas ainda nos deixa abertos para a vulnerabilidade original. Escaneia cada site um de cada vez com o Nessus ou o Metasploit para tentar descobrir o que é vuln?
EDIT 2: Foi phpmyadmin. Mesmo que isso fosse algo que eu atualizaria assim que percebesse que estávamos rodando, descobri o problema especificamente lançando os logs do apache. nessus e metaspolit foram limpos, mas não é útil. (Eu posso não entender como utilizá-los totalmente, apenas executei verificações automáticas básicas).
find / -mtime -1
Substitua -1 pelo número de dias desde quando você acha que a intrusão aconteceu. Ao encontrar os arquivos que foram modificados, você tem uma boa chance de descobrir qual site foi usado para entrar. Por exemplo, procure scripts de backdoor enviados por upload em pastas de imagens e coisas dessa natureza.
Faça backup dos sites, recrie o servidor e adicione apenas os arquivos que você sabe que são necessários e que façam exatamente o que você espera.
Na verdade, é menos trabalho do que tentar limpar um sistema comprometido.
Se você estiver pronto para encontrar vulns, corrija o servidor e execute o metasploit. Eu também assisto netstat para ver quais conexões estão sendo feitas. Eu também desabilitaria qualquer conta que não pertença a ela. Verifique o que é iniciado na inicialização para esquisitices. A lista continua ...
Olink tem uma lista das 125 melhores ferramentas de segurança, que você pode filtrar de alguma forma. Isso pode lhe dar alguma ajuda na escolha de uma ferramenta, mas para isso você terá que fazer sua própria pesquisa.
A última vez que precisei usar o metasploit ou o nessus foi anos atrás, então não me lembro mais de como usá-los.
Dado que você decidiu reconstruir o servidor, como post-mortem, você pode fazer o seguinte;
Faça uma imagem SOMENTE DE LEITURA da máquina defeituosa e armazene com segurança
Faça uma cópia do sistema de arquivos no servidor incorreto. Para fazer isso, você precisará de outra unidade ou volume montado com espaço suficiente; Examine a ferramenta dd . Como você o usa dependerá se você tem uma única partição "/" grande, ou muitos sistemas de arquivos / var / usr e / lib etc.
Conduza a análise forense em um ambiente de sandbox seguro
Mova a cópia da imagem ofensiva do sistema de arquivos para um local seguro, como um guest ubuntu em um VirtualBox. Prepare especialmente o virtualhost caixa de areia. Instale ferramentas como o sleuthkit, acima de tudo, clamav, autópsia.
Conduza o post-mortem de maneira segura e sensata
Não conceda acesso ao sandbox à internet ou às unidades locais. Exclua o convidado do sandbox após o término do processo. Faça anotações, faça alterações no documento.
A primeira coisa a fazer é colocar todos os sites offline. Se seus sites estiverem comprometidos, eles provavelmente estão sendo usados para hospedar arquivos nefastos e / ou enviar spam.
A segunda coisa é alertar quaisquer serviços bancários transacionais que qualquer um dos sites usa.
A terceira coisa é alertar sua base de usuários. Estes três passos podem ser feitos em menos de uma hora e não há desculpa se você ainda não o fez.
Tags debian hacking apache-2.2