Trang web bị xóa, tôi có thể làm gì?

10

Trang web của công ty tôi đã bị xóa, miễn là tôi có nhật ký truy cập thô, có điều gì tôi có thể làm để phân tích khi nào và điều gì đã xảy ra không?

Tôi có nghĩa là những gì cần chú ý trong số hàng ngàn và hàng ngàn dòng nhật ký?

Cảm ơn đã giúp đỡ

apache-2.2  security  forensics 
SteD
nguồn

Câu trả lời:

4

DaisetsuCâu trả lời của bạn là đúng dòng.
Nhưng, bạn có thể có được một số phân tích được thực hiện mà không cần thuê xuất khẩu toàn thời gian.
Tôi đang thêm một vài liên kết đến các bài viết ngắn sẽ cung cấp cho bạn ý chính về những gì có thể được thực hiện.

  1. Câu hỏi phỏng vấn bảo mật web tại WebAppSec
  2. Sử dụng nhật ký máy chủ web của bạn để tìm các máy chủ web bị xâm nhập tại Digital Offerencive
  3. Phải làm gì sau khi định vị trang web ?

Gợi ý: Chuyển câu hỏi này sang ServerFault có thể nhận được nhiều câu trả lời trực tiếp hơn về những gì có thể được thực hiện.

nik
nguồn
Cảm ơn các liên kết và đề xuất, làm cách nào tôi có thể chuyển cái này sang ServerFault? có vẻ như Serverfault là nơi thích hợp nhất để hỏi điều này
SteD
@SteD, bạn có thể đã đăng nó ở đó. Nhưng, bây giờ không thực hiện một bài đăng thứ hai :-)Nó đã được chuyển đến đó, cần tổng cộng 5 phiếu cho điều đó. Tôi đã thêm vào của tôi - những người khác sẽ giúp đỡ.
nik
4

Khi một hệ thống bị xâm nhập / làm mờ, bạn không bao giờ chắc chắn liệu mọi thứ đã được dọn sạch chưa và IMHO giải pháp tốt nhất là luôn cài đặt lại hệ thống, nhưng bạn cần thực hiện một số pháp y để hiểu điều gì đã xảy ra và ngăn chặn nó xảy ra lần nữa.

Dưới đây là danh sách những điều quan trọng cần kiểm tra:

  • hãy xem mọi logfiles bạn có thể, đặc biệt là máy chủ web và hệ thống. Trong tệp nhật ký máy chủ web, hãy kiểm tra bài viết
  • chạy kiểm tra rootkit. Chúng không phải là vô hình nhưng có thể đưa bạn đi đúng hướng. chkrootkit và đặc biệt là rkhunter là những công cụ cho công việc
  • chạy nmap từ bên ngoài máy chủ của bạn và kiểm tra xem có thứ gì nghe trên bất kỳ cổng nào không nên
  • nếu bạn đã có một ứng dụng xu hướng rrdtool (như Cacti, Munin hoặc Ganglia) hãy xem đồ họa và tìm kiếm khung thời gian có thể của atack.
  • kiểm tra phiên bản máy chủ web của bạn và xem có vấn đề bảo mật nào được biết về nó không.

Ngoài ra, luôn luôn giữ điều này là tâm trí:

  • tắt các dịch vụ bạn không cần
  • kiểm tra sao lưu thường xuyên
  • theo nguyên tắc đặc quyền tối thiểu
  • dịch vụ của bạn được cập nhật, đặc biệt là về cập nhật bảo mật
  • không sử dụng thông tin đăng nhập mặc định

Hi vọng điêu nay co ich.

Marco Ramos
nguồn
1
+1, khi bị xâm phạm, hãy lưu một bản sao nội dung "mới" và khôi phục mọi thứ từ bản sao lưu. (Chỉ cần thêm một lý do để giữ bản sao lưu tốt ).
Chris S
1

Vâng, điều này được gọi là Pháp y Mạng. Về cơ bản, nó đang xem qua nhật ký mạng và máy chủ để tìm nguồn gốc của cuộc tấn công và những gì đã được quy kết. Để làm điều này mặc dù bạn thường cần một chuyên gia pháp y và ngay cả khi bạn tìm hiểu chuyện gì đã xảy ra, điều tồi tệ nhất bạn có thể làm là kiện kẻ tấn công hoặc buộc họ phải chịu một hành vi tội phạm. Một sự phá hoại web thực sự không được coi là một tội ác lớn, đó là trừ khi có công ty bị mất tiền do vụ tấn công. Nếu nghiêm trọng, bạn nên liên hệ với cơ quan thích hợp và họ sẽ giúp thu thập bằng chứng. Đây là danh sách những người cần liên hệ với tội phạm mạng. http://www.justice.gov/criminal/cybercrime/reporting.htm Ngoài ra, điều này không được coi là tư vấn pháp lý.

Daisetsu
nguồn
3
Tại sao bạn cần một chuyên gia pháp y để phân tích nhật ký Apache? Một kiến ​​thức làm việc về Linux và Apache phải đủ trình độ chuyên môn.
MDMarra
1
Tôi đã nói từ một quan điểm pháp lý. Nếu bạn muốn một số đánh giá không chính thức thì hãy đặt nhật ký trước mặt anh chàng đó.
@Daisetu - OP không nói gì về hậu quả pháp lý đối với kẻ tấn công. Ông đặc biệt hỏi những gì cần tìm để tìm ra những gì đã sai.
MDMarra
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.