Назад | Перейти на главную страницу

Веб-сайт поврежден, что мне делать?

Веб-сайт моей компании был поврежден, при условии, что у меня есть журнал необработанного доступа к apache. Могу ли я что-нибудь сделать, чтобы проанализировать, когда и что пошло не так?

Я имею в виду, на что обратить внимание среди всех этих тысяч и тысяч строк журнала?

Спасибо за помощь

Когда система скомпрометирована / испорчена, вы никогда не уверены, все ли было очищено, и ИМХО, лучшее решение - всегда переустановить ее, но вам нужно провести некоторую криминалистику, чтобы понять, что произошло, и предотвратить это снова.

Вот список важных вещей, которые нужно проверить:

  • взгляните на все файлы журналов, которые вы можете, особенно на веб-сервер и системные. В файлах журнала веб-сервера проверьте наличие сообщений
  • запускать программы проверки руткитов. Они не безупречны, но могут вести вас в правильном направлении. chkrootkit и особенно rkhunter - инструменты для работы
  • запустите nmap извне вашего сервера и проверьте, не прослушивает ли какой-либо порт что-то, чего не должно быть
  • Если у вас есть приложение для отслеживания тенденций rrdtool (например, Cacti, Munin или Ganglia), просмотрите графику и найдите возможные временные рамки атаки.
  • проверьте версию своего веб-сервера и посмотрите, есть ли в нем известные проблемы безопасности.

Кроме того, всегда помните об этом:

  • отключите службы, которые вам не нужны
  • регулярно тестируйте резервные копии
  • следуйте принципу наименьших привилегий
  • обновите свои услуги, особенно в отношении обновлений безопасности
  • не используйте учетные данные по умолчанию

Надеюсь это поможет.

DaisetsuОтвет находится в правильных строках.
Но вы могли бы провести некоторый анализ, не нанимая штатного специалиста по экспорту.
Я добавляю пару ссылок на короткие статьи, которые дадут вам представление о том, что можно сделать.

  1. Вопросы на собеседовании по веб-безопасности в WebAppSec
  2. Использование журналов вашего веб-сервера для поиска взломанных веб-серверов в DigitalOffencive
  3. какой делать после выхода из строя веб-сайта?

Предложение. Перемещение этого вопроса в ServerFault может дать более конкретные ответы о том, что можно сделать.

Да, это называется сетевой криминалистикой. По сути, он просматривает сетевые журналы и журналы серверов, чтобы определить источник атаки и то, что было скомпримировано. Для этого вам обычно нужен судебно-медицинский эксперт, и даже когда вы узнаете, что произошло, худшее, что вы можете сделать, - это подать в суд на злоумышленника или предъявить ему обвинение в уголовном преступлении. Уничтожение веб-сайтов действительно не считается серьезным преступлением, если только компания не потеряла деньги в результате атаки. Если это серьезно, вам следует обратиться в соответствующий орган, и они помогут со сбором доказательств. Вот список, к кому следует обращаться в случае киберпреступности. http://www.justice.gov/criminal/cybercrime/reporting.htm Также это не считается юридической консультацией.