Компания, в которой я работаю, управляет серией интернет-магазинов на VPS. Это стек WAMP, хранилище 50 ГБ.
Мы используем устаревшее программное обеспечение для электронной коммерции, которое почти полностью работает на стороне клиента. Когда заказ принят, он записывает его на диск, а затем мы планируем задачу по загрузке заказов каждые 10 минут.
Несколько дней назад у нас закончилось место на диске, из-за чего заказы не записывались. Я быстро перешел к удалению некоторых старых журналов с почтового сервера и довольно быстро освободил пару ГБ, но мне стало интересно, как мы могли бы заполнить 50 ГБ не более чем журналами.
Оказывается, нет. Скрытый глубоко внутри c:\System Volume Information В каталоге у нас есть пачка пиратских видео, которые, похоже, появились (если посмотреть на временные метки) за последние три недели. Порно, американские виды спорта, австралийские кулинарные шоу. Очень странная коллекция. Это не похоже на личные вкусы человека - скорее, VPS используется в качестве приманки.
У нас есть 5 попыток, и вы заблокированы политикой на нашем FTP-сервере (плюс, нет учетной записи FTP с доступом к этому каталогу), а для учетной записи пользователя Windows недавно был изменен пароль. Основные проспекты опломбированы - и журналы могут это подтвердить. Я подумал, что посмотрю и посмотрю, случится ли это снова, и да, сегодня утром появилось еще одно кулинарное шоу.
Я единственный, кто знает об этой проблеме в своей компании, и только один из двух имеет доступ к VPS (второй - мой начальник, но нет - это не он).
Так как же это происходит?
Есть ли уязвимости в каком-то программном обеспечении VPS? Разносят ли владельцы VPS варез на арендованной площади? (они могут это сделать?)
Я не хочу удалять варез в случае, если он будет расценен как враждебное действие против этой внешней силы, и они решат отомстить.
Что я должен делать? Как мне решить эту проблему? Случалось ли это с кем-нибудь раньше?
без кода аудита (используете ли вы специализированное программное обеспечение магазина?), вы не можете узнать, есть ли ошибка, которая используется (и даже если вы не нашли ничего, что не означает, что ее там нет). Например, вы используете собственный код SQL? С проверкой работоспособности и очисткой ввода?
Я предполагаю, что все ваши системы полностью обновлены? Проверка на вредоносное ПО? Антивирус обновлен?
Если кто-то взломает систему, он может получить руткит. Независимо от того, как вы вносите изменения или изменения пароля, если что-то в системе было изменено, чтобы разрешить доступ через черный ход, вы не собираетесь скрывать это. Вдобавок к этому он может регистрировать изменения ваших паролей и нажатия клавиш, так что вы просто вводите новые пароли злоумышленнику.
Вы можете ввести одитинг, чтобы увидеть, откуда берутся связи, но я сомневаюсь, что это очень поможет.
В конце концов, нужно подумать о вайпе и переустановить с нуля. Это только Таким образом, вы можете снова доверять установке и знать, что она чиста от троянского кода, поскольку инфекция может маскироваться, когда она находится под контролем.
Что еще страшнее, если вы берете кредитные карты, эта информация может быть украдена, и вы будете ответственны за то, что идентификационные данные клиентов будут украдены. Если вы находитесь в США, это может иметь последствия, когда вам необходимо уведомить клиентов о возможной краже личных данных.
Если это сервер, который обрабатывает все, что связано с деньгами, вам, возможно, придется рассмотреть возможность вызова подрядчиков для аудита системы. Сделайте образы системы для судебной экспертизы, сотрите и переустановите. Чем дольше вы ждете, тем больше ответственности вы открываете.
Чтобы ответить, как это происходит, если сервер является выделенным, он может что-то взламывать в вашем магазине (например, SQL-инъекция). Уязвимость в Windows не исправляет что-либо в веб-браузере с этой системой? "Проезжайте" загрузчики с веб-сайта. Запускать на нем софт не из системы? Мог быть чем-то заражен. Слабые пароли. Проверять их когда-нибудь? И есть вероятность, что вам будет нелегко узнать, как они это сделали. Я делаю ставку на программное обеспечение для витрины магазина, особенно если оно нишевое, поскольку разработчикам легко не очистить ввод с URL-адреса и не открыть его для атак путем внедрения. Или если он использует PHP, открытый для внешнего интерфейса; вы постоянно обновляете это? Вы не упоминаете, использует ли он что-то вроде административного интерфейса php, но небрежное кодирование php также может добавить легкий вектор атаки.
Если вы не знаете, как с этим бороться, серьезно, наймите стороннюю помощь. Нет ничего постыдного в получении помощи, и эмпирическое правило состоит в том, что после взлома вы НЕ МОЖЕТЕ быть уверенным, что он исправлен, и если данные о клиентах поступают в эту систему, вы открываете для себя ответственность и причиняете вред невиновным клиентам. Кроме того, если эта система не отделена от других систем в сети, она может попытаться перехватить данные другой системы.
Во-первых, я думаю, вы обнаружите, что как минимум три человека имеют доступ к VPS, а не только двое, о которых вы знаете. Я считаю, что система была взломана и взломана. Я также подозреваю, что сейчас он размещает файлы для P2P-сети, скорее всего, торренты. Вы можете искать файлы * .torrent, но они, вероятно, все равно скрыты от вашего просмотра.
Вы больше не контролируете систему. Они просто оставили вас с этой иллюзией. Если бы они не проявили такой беспечности, чтобы израсходовать все это дисковое пространство, они вполне могли бы справиться с этим гораздо дольше. Кстати, даже элементарная система мониторинга должна была предупредить вас об уменьшении дискового пространства.
На этом этапе вам нужно прислушаться к совету Барта и собрать доказательства судебной экспертизы в виде снимка системы. Затем полностью вытрите его и переустановите с нуля. Ваши резервные копии на этом этапе, вероятно, бесполезны, поскольку у вас нет реального способа узнать, когда произошел взлом.
Вам нужно подумать, что можно сделать, чтобы лучше защитить вашу недавно восстановленную систему. Если на то пошло, я бы подумал о том, чтобы перестроить его на новом хосте и продолжать использовать существующий, пока он не будет готов, а затем сделаю переключение.