Site Web défiguré, que puis-je faire?


10

Le site Web de mon entreprise a été effacé, à condition que je dispose du journal d'accès brut apache, puis-je faire quoi que ce soit pour analyser quand et qu'est-ce qui a mal tourné?

Je veux dire quoi rechercher parmi toutes ces milliers et milliers de ligne de journal?

Merci pour l'aide

Réponses:


4

DaisetsuLa réponse est sur les bonnes lignes.
Mais, vous pourrez peut-être effectuer une analyse sans engager une exportation à temps plein également.
J'ajoute quelques liens vers de courts articles qui vous donneront l'essentiel de ce qui peut être fait.

  1. Questions d'entretiens chez Web Security à WebAppSec
  2. Utilisation de vos journaux de serveur Web pour trouver des serveurs Web compromis sur DigitalOffencive
  3. Que faire après un déplacement de site Web ?

Suggestion: le déplacement de cette question vers ServerFault pourrait obtenir des réponses plus ciblées sur ce qui peut être fait.


Merci pour les liens et suggestions, comment puis-je déplacer ceci vers ServerFault? semble que Serverfault soit l'endroit le plus approprié pour poser cette question
SteD

@SteD, vous auriez pu le publier là-bas. Mais, maintenant ne faites pas un deuxième affichage :-)Il est déjà déplacé là-bas, a besoin d'un total de 5 votes pour cela. J'ai ajouté le mien - d'autres vous aideront.
nik

4

Lorsqu'un système est compromis / dégradé, vous n'êtes jamais sûr si tout a été nettoyé et à mon humble avis, la meilleure solution est toujours de le réinstaller, mais vous devez faire quelques recherches pour comprendre ce qui s'est passé et empêcher qu'il ne se reproduise.

Voici une liste de choses importantes à vérifier:

  • jetez un oeil à tous les fichiers journaux que vous pouvez, en particulier le serveur Web et ceux du système. Dans les fichiers journaux du serveur Web, recherchez les publications
  • exécutez les vérificateurs de rootkit. Ils ne sont pas infaillibles mais peuvent vous conduire dans la bonne direction. chkrootkit et surtout rkhunter sont les outils pour le travail
  • exécutez nmap depuis l'extérieur de votre serveur et vérifiez s'il y a quelque chose à écouter sur un port qui ne devrait pas être
  • si vous avez une application de tendances rrdtool (comme Cacti, Munin ou Ganglia), jetez un œil aux graphiques et recherchez un intervalle de temps possible pour l'atack.
  • vérifiez la version de votre serveur Web et voyez s'il existe des problèmes de sécurité connus.

Aussi, gardez toujours cela à l'esprit:

  • fermez les services dont vous n'avez pas besoin
  • tester régulièrement les sauvegardes
  • suivre le principe du moindre privilège
  • faire mettre à jour vos services, notamment en ce qui concerne les mises à jour de sécurité
  • n'utilisez pas les informations d'identification par défaut

J'espère que cela t'aides.


1
+1, une fois compromis, enregistrez une copie du «nouveau» contenu et restaurez tout à partir d'une sauvegarde. (Juste une raison de plus pour conserver de bonnes sauvegardes ).
Chris S

1

Oui, ceci est connu sous le nom de Network Forensics. Il examine essentiellement les journaux du réseau et du serveur afin de trouver l'origine de l'attaque et ce qui a été comprimé. Pour ce faire, bien que vous ayez généralement besoin d'un médecin légiste, et même lorsque vous découvrez ce qui s'est passé, le pire que vous puissiez faire est de poursuivre l'agresseur ou de le faire accuser d'un acte criminel. Un effacement de sites Web n'est vraiment pas considéré comme un énorme crime, à moins que l'entreprise n'ait perdu de l'argent à la suite de l'attaque. Si c'est grave, vous devez contacter l'autorité appropriée et elle vous aidera à collecter les preuves. Voici une liste de personnes à contacter pour la cybercriminalité. http://www.justice.gov/criminal/cybercrime/reporting.htm De plus, cela ne compte pas comme conseil juridique.


3
Pourquoi auriez-vous besoin d'un médecin légiste pour analyser les journaux Apache? Une connaissance pratique de Linux et Apache devrait être une qualification suffisante.
MDMarra

1
Je parlais d'un point de vue juridique. Si vous voulez un examen informel, mettez les journaux devant le gars.

@Daisetu - Le PO n'a rien dit sur les répercussions juridiques pour l'attaquant. Il a spécifiquement demandé ce qu'il fallait rechercher pour savoir ce qui n'allait pas.
MDMarra
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.