Я унаследовал взломанный веб-сервер. Пытаясь разобраться, почему зависает apache и причины высокой нагрузки на сервер, я нашел несколько копий perlbot 4.5 в / tmp. Сейчас я пытаюсь выяснить, как они попали в машину, чтобы закрыть отверстие (я). Я смотрел на различные сканеры, nessus кажется хорошим, и я провел сканирование на машине и на одном из размещенных веб-сайтов. Но существует пара сотен сайтов, слишком много, чтобы кто-то мог знать все тонкости, и я здесь новичок, поэтому понятия не имею, что они могут делать. Сканирование каждого сайта - лучший вариант?
Как бы вы могли проверить такое количество сайтов на одном компьютере на наличие проблем?
ИЗМЕНИТЬ ДОБАВИТЬ: все протираем и восстанавливаем из резервных копий. Это хорошо, но все же оставляет нас открытыми для исходной уязвимости. Сканируйте каждый сайт по очереди с помощью Nessus или Metasploit, чтобы попытаться выяснить, что это за уязвимость?
РЕДАКТИРОВАТЬ 2: Это был phpmyadmin. Несмотря на то, что это было бы чем-то, что я бы обновил, как только я заметил, что мы его запускаем, я обнаружил проблему специально, пролив журналы apache. nessus и metaspolit были аккуратными, но бесполезными. (Возможно, я не понимаю, как их использовать в полной мере, я просто запустил базовое автоматическое сканирование).
Сделайте резервную копию сайтов, перестройте сервер, затем добавьте обратно только те файлы, которые, как вы знаете, необходимы, и это сделает именно то, что вы ожидаете.
На самом деле это меньше работы, чем попытка очистить скомпрометированную систему.
Если вы настроены на поиск уязвимостей, исправьте сервер, а затем запустите против него metasploit. Я бы также посмотрел netstat, чтобы увидеть, какие соединения выполняются. Я бы также отключил любые учетные записи, которые там не принадлежат. Проверьте, что запускается при загрузке, на предмет странностей. Список продолжается ...
http://sectools.org/ есть список из 125 лучших инструментов безопасности, которые вы можете отфильтровать. Это может помочь вам в выборе инструмента, но для этого вам придется провести собственное исследование.
В последний раз мне нужно было использовать metasploit или nessus много лет назад, поэтому я больше не помню специфики их использования.
Учитывая, что вы решили перестроить сервер, в качестве вскрытия вы можете сделать следующее;
Сделайте ТОЛЬКО ДЛЯ ЧТЕНИЯ изображение неисправной машины и храните в надежном месте.
Сделайте копию файловой системы на сервере-нарушителе. Для этого вам понадобится другой диск или смонтированный том с достаточным пространством; Посмотрите в дд инструмент. То, как вы его используете, будет зависеть от того, есть ли у вас один большой корневой раздел "/" или много файловых систем / var / usr и / lib и т. Д.
Проведение криминалистической экспертизы в безопасной среде песочницы
Переместите копию некорректного образа файловой системы в безопасное место, например гостевую ubuntu в VirtualBox. Специально подготовьте виртуальный хост песочницы. Установите такие инструменты, как поисковик, передовой, кламав, вскрытие.
Проведите вскрытие безопасным и разумным образом.
Не давайте песочнице доступ к Интернету или локальным дискам. Удалите гостя песочницы после завершения процесса. Делайте заметки, вносите изменения в документы.
find / -mtime -1
Замените -1 на количество дней с момента, когда, по вашему мнению, произошло вторжение. Обнаружив файлы, которые были изменены, у вас есть довольно хорошие шансы выяснить, какой сайт использовался для входа. Например, поищите загруженные скрипты бэкдора в папках изображений и тому подобное.
Первое, что нужно сделать, это отключить все сайты. Если ваши сайты взломаны, они, вероятно, используются для размещения вредоносных файлов и / или для рассылки спама.
Во-вторых, необходимо предупредить о любых транзакционных банковских услугах, которые использует любой из сайтов.
Третье - предупредить вашу пользовательскую базу. Эти три шага можно выполнить менее чем за час, и нет оправдания, если вы еще этого не сделали.