Witryna została wyczyszczona, co mogę zrobić?

10

Witryna mojej firmy została zniszczona, pod warunkiem, że mam dziennik dostępu surowego serwera Apache. Czy mogę coś zrobić, aby przeanalizować, kiedy i co poszło nie tak?

Mam na myśli, na co należy uważać wśród tych tysięcy linii logów?

Dzięki za pomoc

apache-2.2 security forensics

— SteD
źródło

4

DaisetsuOdpowiedź jest na właściwej linii.
Ale możesz być w stanie przeprowadzić analizę, nie zatrudniając również eksportu na pełny etat.
Dodaję kilka linków do krótkich artykułów, które dadzą sedno tego, co można zrobić.

Pytania dotyczące bezpieczeństwa w sieci Web na WebAppSec
Używanie dzienników serwera internetowego do znajdowania zagrożonych serwerów sieciowych w DigitalOffencive
Co robić po dezintegracji witryny internetowej ?

^{Sugestia: przeniesienie tego pytania do ServerFault może uzyskać bardziej ukierunkowane odpowiedzi na temat tego, co można zrobić.}

— nik
źródło

Dzięki za linki i sugestie, jak mogę przenieść to do ServerFault? Wydaje się, że błąd serwera to najbardziej odpowiednie miejsce, aby o to zapytać

— SteD

@SteD, mogłeś to tam opublikować. Ale teraz nie rób drugiego postu. :-)Jest już tam przenoszony, potrzebuje w sumie 5 głosów na to. Dodałem w moim - inni pomogą.

— nik

4

Gdy system zostanie przejęty / uszkodzony, nigdy nie masz pewności, czy wszystko zostało wyczyszczone, a IMHO najlepszym rozwiązaniem jest zawsze jego ponowna instalacja, ale musisz wykonać czynności kryminalistyczne, aby zrozumieć, co się stało i zapobiec ponownemu wystąpieniu problemu.

Oto lista ważnych rzeczy do sprawdzenia:

spójrz na wszystkie pliki dziennika, jakie możesz, szczególnie na serwer WWW i systemowe. W plikach dziennika serwera WWW sprawdź posty
uruchom sprawdzanie rootkitów. Nie są nieomylne, ale mogą poprowadzić cię we właściwym kierunku. Chkrootkit, a zwłaszcza rkhunter są narzędziami do tego zadania
uruchom nmap spoza serwera i sprawdź, czy coś nasłuchuje na dowolnym porcie, który nie powinien być
jeśli masz popularną aplikację rrdtool (taką jak Cacti, Munin lub Ganglia), spójrz na grafikę i wyszukaj możliwe ramy czasowe ataku.
sprawdź wersję swojego serwera i sprawdź, czy istnieją znane problemy z bezpieczeństwem.

Pamiętaj też, aby zawsze pamiętać:

zamknij usługi, których nie potrzebujesz
regularnie testuj kopie zapasowe
przestrzegaj zasady najmniejszych uprawnień
aktualizuj swoje usługi, szczególnie w zakresie aktualizacji bezpieczeństwa
nie używaj domyślnych danych logowania

Mam nadzieję że to pomoże.

— Marco Ramos
źródło

1

+1, w przypadku naruszenia bezpieczeństwa, zapisz kopię „nowej” zawartości i przywróć wszystko z kopii zapasowej. (Jeszcze jeden powód, aby zachować dobre kopie zapasowe ).

— Chris S

1

Tak, jest to znane jako Network Forensics. Zasadniczo przegląda dzienniki sieci i serwerów w celu znalezienia źródła ataku i tego, co zostało skompromitowane. Aby to zrobić, zwykle potrzebujesz specjalisty kryminalistyki, a nawet gdy dowiesz się, co się stało, najgorsze, co możesz zrobić, to pozwać napastnika lub oskarżyć go o przestępstwo. Zniszczenie sieci naprawdę nie jest postrzegane jako ogromne przestępstwo, to znaczy, chyba że firma straciła pieniądze w wyniku ataku. Jeśli to poważne, należy skontaktować się z odpowiednim organem, który pomoże w zebraniu dowodów. Oto lista osób, z którymi należy się skontaktować w sprawie cyberprzestępczości. http://www.justice.gov/criminal/cybercrime/reporting.htm Również nie liczy się to jako porady prawnej.

— Daisetsu
źródło

3

Dlaczego potrzebujesz specjalisty medycyny sądowej do analizy logów Apache? Praktyczna znajomość Linuksa i Apache powinna być wystarczającym doświadczeniem.

— MDMarra

1

Mówiłem z prawnego punktu widzenia. Jeśli chcesz nieformalnej recenzji, umieść dzienniki przed tym facetem.

@Daisetu - OP nie powiedział nic o konsekwencjach prawnych dla atakującego. W szczególności zapytał, czego szukać, aby dowiedzieć się, co poszło nie tak.

— MDMarra