Назад | Перейти на главную страницу

Найдите источник вредоносного ПО?

У меня есть сервер, на котором была запущена более старая версия lighttpd (1.4.19 на машине freebsd 6.2-RELEASE (да, старая)), и Google предупредил меня, что он обнаружил вредоносное ПО, встроенное в одну из страниц моего сервера. Так получилось, что это наша индексная страница. Я незамедлительно удалил вредоносное ПО и начал просматривать журналы сервера, чтобы узнать, как оно туда попало. Без каких-либо следов в журналах редактируемых файлов, я заметил, что владелец индексной страницы был изменен на www, который является пользователем lighttpd. Затем я пришел к выводу, что для этой версии программного обеспечения должна была существовать какая-то возможность аутентификации, и сразу же обновился до 1.4.26.

Теперь вредоносная программа вернулась. Я начал довольно подробное ведение журнала сервера с помощью ftp, lighttpd и всех попыток входа в систему, чтобы попытаться увидеть, как этот скрипт попадает в систему. Есть ли их предложения относительно других подходов?

Ваш веб-сайт был взломан / поврежден, и когда это происходит, обычно очень сложно воссоздать все действия злоумышленников, и лучшим решением является переустановка скомпрометированных серверов. С другой стороны, вам необходимо провести некоторую криминалистику, чтобы выяснить, что, возможно, произошло, и предотвратить повторение этого.

Вот список вещей, которые стоит проверить:

  • посмотреть, есть ли известные уязвимости в вашем веб-сервере и версиях вашего ftp-сервера
  • взгляните на все файлы журналов, которые вы можете, особенно на веб-сервер, ftp-сервер и системные. В файлах журнала веб-сервера проверьте наличие сообщений
  • есть ли какие-то запущенные службы, которые вам не нужны? Доступны ли они из Интернета? Закройте их сейчас, проверьте их журналы и проверьте возможные известные уязвимости.
  • запускать программы проверки руткитов. Они не безупречны, но могут вести вас в правильном направлении. chkrootkit и особенно rkhunter - инструменты для работы
  • запустите nmap извне вашего сервера и проверьте, не прослушивает ли какой-либо порт что-то, чего не должно быть.
  • Если у вас есть приложение для отслеживания тенденций rrdtool (например, Cacti, Munin или Ganglia), посмотрите графики и найдите возможные временные рамки атаки.

Кроме того, всегда помните об этом:

  • отключите все службы, которые вам не нужны
  • резервное копирование всего необходимого для восстановления сервера и регулярного тестирования резервных копий
  • следуйте принципу наименьших привилегий
  • обновите свои услуги, особенно в отношении обновлений безопасности
  • не используйте учетные данные по умолчанию

Надеюсь это поможет!