Sito web deturpato, cosa posso fare?

10

Il sito Web della mia azienda è stato cancellato, a condizione che io abbia il registro di accesso non elaborato di Apache, c'è qualcosa che potrei fare per analizzare quando e cosa è andato storto?

Voglio dire cosa cercare tra tutte quelle migliaia e migliaia di file di log?

Grazie per l'aiuto

apache-2.2 security forensics

— STED
fonte

4

DaisetsuLa risposta è sulle linee giuste.
Ma potresti essere in grado di eseguire alcune analisi senza assumere anche un'esportazione a tempo pieno.
Sto aggiungendo un paio di link a brevi articoli che ti daranno un'idea di cosa si può fare.

Domande di intervista sulla sicurezza Web su WebAppSec
Utilizzo dei log del server Web per trovare server Web compromessi su DigitalOffencive
Cosa fare dopo un defacement del sito Web ?

^{Suggerimento: spostare questa domanda su ServerFault potrebbe ottenere risposte più dirette su cosa si può fare.}

— nik
fonte

Grazie per i collegamenti e i suggerimenti, come posso spostarlo su ServerFault? sembra Serverfault è il posto più appropriato per chiedere questo

— SteD

@SteD, potresti averlo pubblicato lì. Ma ora non fare un secondo post. :-)È già stato spostato lì, per questo ha bisogno di un totale di 5 voti. Ho aggiunto nel mio - altri aiuteranno.

— nik,

4

Quando un sistema viene compromesso / deturpato, non si è mai sicuri che tutto sia stato pulito e IMHO la soluzione migliore è sempre reinstallarlo, ma è necessario eseguire alcune analisi forensi per capire cosa è successo e impedire che si ripeta.

Ecco un elenco di cose importanti da controllare:

dai un'occhiata a tutti i file di log che puoi, in particolare il server web e quelli di sistema. Nei file di log del server web, controlla i post
eseguire i controlli rootkit. Non sono infalibili ma possono condurti nella giusta direzione. chkrootkit e soprattutto rkhunter sono gli strumenti per il lavoro
esegui nmap dall'esterno del tuo server e controlla se c'è qualcosa in ascolto su qualsiasi porta che non dovrebbe essere
se hai un'applicazione rrdtool di tendenza (come Cacti, Munin o Ganglia) dai un'occhiata alla grafica e cerca un possibile intervallo di tempo dell'attacco.
controlla la versione del tuo server web e vedi se ci sono problemi di sicurezza noti al riguardo.

Inoltre, tieni sempre presente questo:

chiudi i servizi che non ti servono
testare i backup su base regolare
seguire il principio del privilegio minimo
avere i servizi aggiornati, soprattutto per quanto riguarda gli aggiornamenti di sicurezza
non utilizzare le credenziali predefinite

Spero che sia di aiuto.

— Marco Ramos
fonte

1

+1, se compromesso, salva una copia del "nuovo" contenuto e ripristina tutto da un backup. (Solo un motivo in più per mantenere buoni backup ).

— Chris S,

1

Sì, questo è noto come Network Forensics. In sostanza sta esaminando i registri della rete e del server per trovare l'origine dell'attacco e ciò che è stato compreso. Per farlo, di solito hai bisogno di uno specialista forense e anche quando scopri cosa è successo, il peggio che potresti fare è denunciare l'aggressore o fargli accusare di un atto criminale. Una defacement del web non è davvero vista come un crimine enorme, a meno che non ci siano soldi persi dall'azienda a causa dell'attacco. Se è grave, è necessario contattare l'autorità competente e saranno d'aiuto nella raccolta delle prove. Ecco un elenco di chi contattare per il crimine informatico. http://www.justice.gov/criminal/cybercrime/reporting.htm Anche questo non conta come consulenza legale.

— Daisetsu
fonte

3

Perché avresti bisogno di uno specialista forense per analizzare i log di Apache? Una conoscenza pratica di Linux e Apache dovrebbe essere abbastanza qualifica.

— MDMarra,

1

Stavo parlando da un punto di vista legale. Se vuoi una recensione informale, metti i registri davanti al ragazzo.

@Daisetu - L'OP non ha detto nulla sulle ripercussioni legali dell'attaccante. Ha specificamente chiesto cosa cercare per scoprire cosa è andato storto.

— MDMarra,