Witryna została wyczyszczona, co mogę zrobić?

10

Witryna mojej firmy została zniszczona, pod warunkiem, że mam dziennik dostępu surowego serwera Apache. Czy mogę coś zrobić, aby przeanalizować, kiedy i co poszło nie tak?

Mam na myśli, na co należy uważać wśród tych tysięcy linii logów?

Dzięki za pomoc

apache-2.2 security forensics SteD
źródło

Odpowiedzi:

4

DaisetsuOdpowiedź jest na właściwej linii.
Ale możesz być w stanie przeprowadzić analizę, nie zatrudniając również eksportu na pełny etat.
Dodaję kilka linków do krótkich artykułów, które dadzą sedno tego, co można zrobić.

  1. Pytania dotyczące bezpieczeństwa w sieci Web na WebAppSec
  2. Używanie dzienników serwera internetowego do znajdowania zagrożonych serwerów sieciowych w DigitalOffencive
  3. Co robić po dezintegracji witryny internetowej ?

Sugestia: przeniesienie tego pytania do ServerFault może uzyskać bardziej ukierunkowane odpowiedzi na temat tego, co można zrobić.

nik
źródło
Dzięki za linki i sugestie, jak mogę przenieść to do ServerFault? Wydaje się, że błąd serwera to najbardziej odpowiednie miejsce, aby o to zapytać
SteD
@SteD, mogłeś to tam opublikować. Ale teraz nie rób drugiego postu. :-)Jest już tam przenoszony, potrzebuje w sumie 5 głosów na to. Dodałem w moim - inni pomogą.
nik
4

Gdy system zostanie przejęty / uszkodzony, nigdy nie masz pewności, czy wszystko zostało wyczyszczone, a IMHO najlepszym rozwiązaniem jest zawsze jego ponowna instalacja, ale musisz wykonać czynności kryminalistyczne, aby zrozumieć, co się stało i zapobiec ponownemu wystąpieniu problemu.

Oto lista ważnych rzeczy do sprawdzenia:

  • spójrz na wszystkie pliki dziennika, jakie możesz, szczególnie na serwer WWW i systemowe. W plikach dziennika serwera WWW sprawdź posty
  • uruchom sprawdzanie rootkitów. Nie są nieomylne, ale mogą poprowadzić cię we właściwym kierunku. Chkrootkit, a zwłaszcza rkhunter są narzędziami do tego zadania
  • uruchom nmap spoza serwera i sprawdź, czy coś nasłuchuje na dowolnym porcie, który nie powinien być
  • jeśli masz popularną aplikację rrdtool (taką jak Cacti, Munin lub Ganglia), spójrz na grafikę i wyszukaj możliwe ramy czasowe ataku.
  • sprawdź wersję swojego serwera i sprawdź, czy istnieją znane problemy z bezpieczeństwem.

Pamiętaj też, aby zawsze pamiętać:

  • zamknij usługi, których nie potrzebujesz
  • regularnie testuj kopie zapasowe
  • przestrzegaj zasady najmniejszych uprawnień
  • aktualizuj swoje usługi, szczególnie w zakresie aktualizacji bezpieczeństwa
  • nie używaj domyślnych danych logowania

Mam nadzieję że to pomoże.

Marco Ramos
źródło
1
+1, w przypadku naruszenia bezpieczeństwa, zapisz kopię „nowej” zawartości i przywróć wszystko z kopii zapasowej. (Jeszcze jeden powód, aby zachować dobre kopie zapasowe ).
Chris S
1

Tak, jest to znane jako Network Forensics. Zasadniczo przegląda dzienniki sieci i serwerów w celu znalezienia źródła ataku i tego, co zostało skompromitowane. Aby to zrobić, zwykle potrzebujesz specjalisty kryminalistyki, a nawet gdy dowiesz się, co się stało, najgorsze, co możesz zrobić, to pozwać napastnika lub oskarżyć go o przestępstwo. Zniszczenie sieci naprawdę nie jest postrzegane jako ogromne przestępstwo, to znaczy, chyba że firma straciła pieniądze w wyniku ataku. Jeśli to poważne, należy skontaktować się z odpowiednim organem, który pomoże w zebraniu dowodów. Oto lista osób, z którymi należy się skontaktować w sprawie cyberprzestępczości. http://www.justice.gov/criminal/cybercrime/reporting.htm Również nie liczy się to jako porady prawnej.

Daisetsu
źródło
3
Dlaczego potrzebujesz specjalisty medycyny sądowej do analizy logów Apache? Praktyczna znajomość Linuksa i Apache powinna być wystarczającym doświadczeniem.
MDMarra
1
Mówiłem z prawnego punktu widzenia. Jeśli chcesz nieformalnej recenzji, umieść dzienniki przed tym facetem.
@Daisetu - OP nie powiedział nic o konsekwencjach prawnych dla atakującego. W szczególności zapytał, czego szukać, aby dowiedzieć się, co poszło nie tak.
MDMarra