Назад | Перейти на главную страницу

Мой сайт был взломан - что я могу сделать, чтобы это не повторилось?

У меня есть сайт, построенный на старой версии pigg (с 2006 года). Сайт размещен на общем сервере Dreamhost. Сегодня утром я обнаружил, что основная база данных моего сайта полностью стерта.

Как я могу подтвердить, что это был хакер или что-то еще вызвало это? Что я могу сделать, чтобы это не повторилось? Я не могу переключиться на новую версию pligg, поскольку я внес много изменений в исходную версию.

Любые советы приветствуются.

  • Проверьте журнал доступа и журналы запросов к базе данных (если вы их регистрируете)
  • Обратитесь к своему хостинг-провайдеру, чтобы узнать, не сломался ли сервер базы данных, и они не смогли восстановить ваш.
  • Найдите уязвимости, которым подвержена ваша версия pligg.
  • Используйте более надежный пароль базы данных и максимально ограничивайте права доступа.

Если вы не можете переключиться на последнюю версию pligg, вам нужно будет выполнить резервное копирование всех обновлений безопасности, сделанных за последние три года, в вашу версию. Я бы предположил, что обновление ваших настроек для работы с последней версией было бы намного проще.

Чтобы предотвратить повторение этого (или, по крайней мере, минимизировать риск в максимально возможной степени), вам необходимо убедиться, что все обновляется с помощью обновлений безопасности. Вы действительно не можете сократить это, если вам нужно, чтобы сайт был общедоступным.

Кроме того, чтобы уменьшить ущерб, причиненный, если это произойдет снова, вам необходимо настроить достойный автоматический режим резервного копирования.

Я не могу переключиться на новую версию pligg, поскольку я внес много изменений в исходную версию.

Я не гений серверов, поэтому я не могу помочь вам отследить, как это было взломано, но могу дать вам несколько советов. Вам следует вручную исправить свою установку новыми исправлениями безопасности, которые выходят.

Я бы посмотрел на эксплойты для pligg если вы действительно не можете выполнить обновление, я бы все равно посмотрел на исправления для этих конкретных уязвимостей. Поскольку все они довольно неприятны и включают в себя внедрение SQL и удаленное выполнение кода. Это может быть случай простого добавления дополнительной проверки в некоторых местах.

Вы можете прочитать какие-нибудь файлы журналов? Возможно, вы заметили некорректную строку запроса, которая привела к атаке с использованием SQL-инъекции?

Файлы журнала, если они не были изменены

Вы просто не можете быть уверены ни в чем, я боюсь

Я предполагаю, что если вы используете какое-то более старое программное обеспечение, то какой-то ребенок-скрипач запустил какой-то инструмент для эксплуатации. Что они использовали, вы никогда не узнаете

Возможно, вы сможете связаться с Dreamhost, чтобы узнать, могут ли они предложить какие-либо идеи, но я думаю, они не могут

Я бы начал с подачи заявки через портал Dreamhost и посмотрел, что они могут узнать для вас. Хотя, если бы точка входа не была вашей через веб-приложение, они могли бы быть не такими предстоящими (не суждение о их в частности просто циничный взгляд на людей в целом).

Если вы не можете обновить его, можете ли вы ограничить доступ к нему? Возможно, перейдите на vps, чтобы вы могли использовать iptables для ограничения доступа к определенному IP-адресу.

Подвиги Pligg . Иногда бывает полезно проверить сайты, на которых размещены скрипты, на наличие эксплойтов. У большинства из них есть комментарии о том, как они стали возможными, поэтому вы можете:

а) Источник патча

б) Используйте mod_security для фильтрации запросов (http://www.modsecurity.org/).

Предполагая, что вы обнаружите, что проблема связана с pligg (вероятно, поскольку вы сказали, что это старая версия, и я никогда о ней не слышал, поэтому у нее, вероятно, не так много глаз, ищущих ошибки в ее коде). ..

Вы будете очень ограничены. В качестве контроля повреждений:

  • Просмотрите журналы, выясните, что произошло (при необходимости поговорите со специалистами), и залатайте хотя бы эту дыру. Заблокируйте IP-адреса хакеров, используя брандмауэры или правила контроля доступа к веб-серверу. Как говорили другие, попробуйте выполнить резервное копирование всего, что исправляет вектор атаки, если вы можете отследить их точку входа, и найти исправление ошибки в более новых версиях pligg. Все, что вы можете разумно (или даже усердно работая) сделать, чтобы предотвратить повторение того же самого. НО, я действительно не стал бы пытаться «обновить» вашу версию путем резервного копирования всех исправлений безопасности. Это был бы кошмар.

  • Вы можете запускать анализаторы журналов / активные системы IDS для активного выявления и блокировки хакеров. Например, Fail2ban делает такие вещи.

Среднесрочный:

  • Получите оригинальную копию старой установленной вами версии pligg (копия без ваших изменений)
  • Используйте систему контроля версий, такую ​​как git, чтобы применить ваши изменения поверх, и git diff всего, что вы изменили с момента первоначальной версии
  • Получите последнюю версию pligg и примените к ней свой diff. Вероятно, это не сработает, но вам нужно будет изменить только минимум, чтобы он заработал. Проконсультируйтесь с журналами изменений и, в частности, с примечаниями по обновлению для pligg, которые должны помочь вам в переносе кода.

Лучшее и более долгосрочное решение:

Отойди от pligg, раз уж он тебя подвел. Необходимость настраивать программное обеспечение настолько, что его невозможно обновить до новых версий, означает, что оно плохо спроектировано. Получите лучшее программное обеспечение, на котором будет основан ваш код, и убедитесь, что вы можете написать в нем чистый переносимый код, который не изменяет код продукта. В этом случае обновления должны быть чистыми и совместимыми, исключая любые небольшие и нечастые необходимые изменения, которые объясняются примечаниями к выпуску продукта.