เว็บไซต์ชำรุดฉันควรทำอย่างไร

10

เว็บไซต์ของ บริษัท ของฉันถูกลบเลือนหากฉันมีบันทึกการเข้าถึง apache raw มีอะไรที่ฉันสามารถทำได้เพื่อวิเคราะห์เวลาและสิ่งที่ผิดพลาดหรือไม่

ฉันหมายถึงสิ่งที่ต้องระวังในบรรดาท่อนซุงหลายพันเส้น

ขอบคุณสำหรับความช่วยเหลือ

apache-2.2  security  forensics 
sted
แหล่งที่มา

คำตอบ:

4

Daisetsuคำตอบนั้นอยู่ในบรรทัดที่ถูกต้อง
แต่คุณอาจสามารถทำการวิเคราะห์ได้โดยไม่ต้องจ้างการส่งออกเต็มเวลาด้วย
ฉันกำลังเพิ่มลิงก์ไปยังบทความสั้น ๆ ที่จะช่วยให้คุณเข้าใจสิ่งที่สามารถทำได้

  1. คำถามสัมภาษณ์ความปลอดภัยบนเว็บที่ WebAppSec
  2. การใช้บันทึกการใช้เว็บเซิร์ฟเวอร์ของคุณเพื่อค้นหาเว็บเซิร์ฟเวอร์ที่ถูกบุกรุกที่ DigitalOffencive
  3. สิ่งที่ต้องทำหลังจากเว็บไซต์ทำให้เสียโฉม ?

คำแนะนำ: การย้ายคำถามนี้ไปที่ ServerFault อาจได้รับคำตอบที่ตรงมากขึ้นเกี่ยวกับสิ่งที่สามารถทำได้

nik
แหล่งที่มา
ขอบคุณสำหรับลิงค์และคำแนะนำฉันจะย้ายสิ่งนี้ไปยัง ServerFault ได้อย่างไร ดูเหมือนว่า Serverfault เป็นสถานที่ที่เหมาะสมที่สุดที่จะถามสิ่งนี้
SteD
@SteD คุณสามารถโพสต์ได้ที่นั่น แต่ตอนนี้อย่าโพสต์ครั้งที่สอง:-)มันถูกย้ายไปแล้วที่นั่นต้องการคะแนนโหวต 5 ฉันได้เพิ่มเข้ามาในของฉัน - คนอื่นจะช่วย
nik
4

เมื่อระบบถูกบุกรุก / เลิกใช้งานคุณไม่เคยแน่ใจว่าทุกสิ่งได้รับการทำความสะอาดและ IMHO ทางออกที่ดีที่สุดคือติดตั้งใหม่เสมอ แต่คุณต้องทำนิติเวชเพื่อทำความเข้าใจว่าเกิดอะไรขึ้นและป้องกันไม่ให้เกิดขึ้นอีก

นี่คือรายการสิ่งสำคัญที่ควรตรวจสอบ:

  • ดูไฟล์บันทึกทุกไฟล์ที่คุณสามารถทำได้โดยเฉพาะเว็บเซิร์ฟเวอร์และระบบ ในล็อกไฟล์ของเว็บเซิร์ฟเวอร์ให้ตรวจสอบการโพสต์
  • รันตัวตรวจสอบรูตคิต พวกมันจะไม่ infalible แต่สามารถนำคุณไปในทิศทางที่ถูกต้อง chkrootkit และโดยเฉพาะ rkhunter เป็นเครื่องมือสำหรับงาน
  • เรียกใช้ nmap จากภายนอกเซิร์ฟเวอร์ของคุณและตรวจสอบว่ามีบางสิ่งที่กำลังฟังบนพอร์ตใด ๆ ที่ไม่ควรเป็น
  • หากคุณเป็นแอพพลิเคชั่นที่ได้รับความนิยม (เช่น Cacti, Munin หรือ Ganglia) ลองดูกราฟิกและค้นหากรอบเวลาที่เป็นไปได้ของ atack
  • ตรวจสอบรุ่นของเว็บเซิร์ฟเวอร์ของคุณและดูว่ามีปัญหาด้านความปลอดภัยที่ทราบหรือไม่

นอกจากนี้โปรดจำไว้เสมอว่า:

  • ปิดบริการที่คุณไม่ต้องการ
  • ทดสอบการสำรองข้อมูลเป็นประจำ
  • ปฏิบัติตามหลักการสิทธิพิเศษน้อยที่สุด
  • ปรับปรุงบริการของคุณโดยเฉพาะเกี่ยวกับการปรับปรุงความปลอดภัย
  • อย่าใช้ข้อมูลรับรองเริ่มต้น

หวังว่านี่จะช่วยได้

มาร์โกรามอส
แหล่งที่มา
1
+1 เมื่อถูกบุกรุกให้บันทึกสำเนาของเนื้อหา "ใหม่" และกู้คืนทุกสิ่งจากข้อมูลสำรอง (อีกเหตุผลหนึ่งในการสำรองข้อมูลที่ดี )
Chris S
1

ใช่สิ่งนี้เรียกว่า Network Forensics โดยพื้นฐานแล้วการค้นหาผ่านเครือข่ายและบันทึกเซิร์ฟเวอร์เพื่อค้นหาที่มาของการโจมตีและสิ่งที่ได้รับการรวบรวม ในการทำเช่นนี้แม้ว่าคุณจะต้องมีผู้เชี่ยวชาญด้านนิติเวชและแม้ว่าคุณจะรู้ว่าเกิดอะไรขึ้นสิ่งที่แย่ที่สุดที่คุณสามารถทำได้คือฟ้องผู้โจมตีหรือฟ้องร้องคดีอาญา การทำให้เว็บเป็นจริงไม่ได้ถูกมองว่าเป็นอาชญากรรมขนาดใหญ่นั่นคือหาก บริษัท ไม่มีเงินที่เสียไปเนื่องจากการโจมตี หากเป็นเรื่องร้ายแรงคุณควรติดต่อเจ้าหน้าที่ที่เหมาะสมและพวกเขาจะช่วยในการรวบรวมหลักฐาน นี่คือรายชื่อของผู้ที่ติดต่ออาชญากรรมไซเบอร์ http://www.justice.gov/criminal/cybercrime/reporting.htm สิ่งนี้ไม่นับรวมเป็นคำแนะนำทางกฎหมาย

Daisetsu
แหล่งที่มา
3
ทำไมคุณต้องมีผู้เชี่ยวชาญด้านนิติเวชในการวิเคราะห์บันทึก Apache ความรู้ที่ใช้งานได้ของ Linux และ Apache ควรมีคุณสมบัติเพียงพอ
MDMarra
1
ฉันกำลังพูดจากมุมมองทางกฎหมาย หากคุณต้องการการตรวจสอบอย่างไม่เป็นทางการจากนั้นใส่บันทึกที่อยู่ตรงหน้ามัน
@Daisetu - OP ไม่ได้พูดอะไรเกี่ยวกับผลกระทบทางกฎหมายของผู้โจมตี เขาถามว่าจะค้นหาสิ่งที่ผิดพลาดโดยเฉพาะ
MDMarra
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.