Веб-сайт за замовчуванням, що я можу зробити?

10

Веб-сайт моєї компанії був налаштований за умови, що я маю журнал доступу необробленого апачу, чи можу я щось зробити, щоб проаналізувати, коли і що пішло не так?

Я маю на увазі, на що слід дивитися серед усіх цих тисяч і тисяч рядків журналу?

Дякую за допомогу

apache-2.2  security  forensics 
SteD
джерело

Відповіді:

4

DaisetsuВідповідь у правильних рядках.
Але, можливо, ви зможете зробити якийсь аналіз, не наймаючи також експорт на повний робочий день.
Я додаю пару посилань на короткі статті, які дадуть вам суть того, що можна зробити.

  1. Питання щодо інтерв'ю з веб-безпекою на веб- сайті WebAppSec
  2. Використання журналів веб-сервера для пошуку порушених веб-серверів у DigitalOffencive
  3. Що робити після розміщення веб-сайту ?

Пропозиція: Переміщення цього питання на ServerFault може отримати більш спрямовані відповіді на те, що можна зробити.

нік
джерело
Дякую за посилання та пропозиції, як я можу перемістити це до ServerFault? Здається, що Serverfault це найбільш підходяще місце для запитання
SteD
@SteD, Ви могли там розмістити його. Але тепер не робіть другу публікацію. :-)Вона вже переїхала туди, для цього потрібно загалом 5 голосів. Я додав у своєму - інші допоможуть.
nik
4

Коли система скомпрометована / налаштована, ви ніколи не будете впевнені, чи все було очищено, а IMHO найкращим рішенням є завжди перевстановити її, але вам потрібно зробити кілька криміналістів, щоб зрозуміти, що сталося і не допустити його повторення.

Ось перелік важливих речей, які потрібно перевірити:

  • погляньте на всі вхідні файли, особливо на веб-сервер та системні. У журналах веб-сервера перевірте, чи немає повідомлень
  • запустити шашки rootkit. Вони не є непрацездатними, але можуть привести вас у правильному напрямку. chkrootkit і особливо rkhunter - інструменти для роботи
  • запустіть nmap за межами вашого сервера і перевірте, чи є щось на прослуховуванні на будь-якому порту, чого не повинно бути
  • якщо у вас є трендовий додаток rrdtool (наприклад, Кактуси, Мунін або Ганглія), подивіться графіку та знайдіть можливий часовий проміжок атаки.
  • перевірте версію свого веб-сервера і перевірте, чи існують відомі проблеми безпеки.

Крім того, завжди майте це на увазі:

  • вимкніть послуги, які вам не потрібні
  • регулярно тестуйте резервні копії
  • дотримуйтесь принципу найменшої пільги
  • оновлювати ваші послуги, особливо щодо оновлень безпеки
  • не використовувати облікові дані за замовчуванням

Сподіваюсь, це допомагає.

Марко Рамос
джерело
1
+1, після компромісу збережіть копію "нового" вмісту та відновіть усе з резервної копії. (Ще одна причина збереження резервних копій ).
Кріс S
1

Так, це відомо як Мережева криміналістика. По суті, це перегляд мережевих і серверних журналів, щоб знайти походження атаки та те, що було поставлено під сумнів. Для цього хоча вам зазвичай потрібен судово-медичний фахівець, і навіть коли ви дізнаєтесь, що сталося, найгірше, що ви могли зробити, - це подати в суд на нападника або звинуватити його у кримінальному діянні. Повернення веб-сторінки насправді не сприймається як величезний злочин, якщо тільки в результаті нападу компанія не втратила гроші. Якщо це серйозно, вам слід звернутися до відповідної інстанції, і вони допоможуть зібрати докази. Ось список, до кого звертатися за кіберзлочинністю. http://www.justice.gov/criminal/cybercrime/reporting.htm Також це не вважається юридичною порадою.

Дайсецу
джерело
3
Навіщо вам потрібен судово-медичний фахівець для аналізу журналів Apache? Робочі знання Linux та Apache повинні бути достатньо кваліфікаційними.
MDMarra
1
Я виступав з юридичної точки зору. Якщо ви хочете отримати неформальний огляд, тоді покладіть журнали перед ним.
@Daisetu - ОП нічого не сказала про правові наслідки для нападника. Він спеціально запитав, на що звернути увагу, щоб з’ясувати, що пішло не так.
MDMarra
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.