Site desfigurado, o que posso fazer?

10

O site da minha empresa foi desfigurado, desde que eu tenha o log de acesso bruto apache, há algo que eu possa fazer para analisar quando e o que deu errado?

Quero dizer, o que procurar entre todas essas milhares e milhares de linhas de log?

Obrigado pela ajuda

apache-2.2 security forensics SteD
fonte

Respostas:

4

DaisetsuA resposta está nas linhas corretas.
Porém, você pode conseguir fazer algumas análises sem contratar uma exportação em tempo integral também.
Estou adicionando alguns links para artigos curtos que fornecerão a essência do que pode ser feito.

  1. Perguntas sobre entrevistas de segurança na Web em WebAppSec
  2. Usando os logs do servidor da web para encontrar servidores comprometidos na DigitalOffencive
  3. O que fazer após uma desfiguração do site ?

Sugestão: Mover esta pergunta para ServerFault pode obter respostas mais direcionadas sobre o que pode ser feito.

nik
fonte
Obrigado pelos links e sugestões, como posso mover isso para o ServerFault? Parece que Serverfault que o local mais adequado para fazer esta
Sted
@SteD, você poderia ter postado lá. Mas, agora não faça uma segunda postagem. :-)Já está sendo movido para lá, precisa de um total de 5 votos para isso. Eu adicionei no meu - outros ajudarão.
Nik
4

Quando um sistema é comprometido / desfigurado, você nunca tem certeza se tudo foi limpo e o IMHO é a melhor solução sempre para reinstalá-lo, mas você precisa fazer algumas análises forenses para entender o que aconteceu e impedir que isso aconteça novamente.

Aqui está uma lista de coisas importantes para verificar:

  • dê uma olhada em todos os arquivos de log que puder, especialmente o servidor da web e os do sistema. Nos arquivos de log do servidor da web, verifique as postagens
  • execute verificadores rootkit. Eles não são infalíveis, mas podem levá-lo na direção certa. chkrootkit e especialmente rkhunter são as ferramentas para o trabalho
  • execute o nmap de fora do servidor e verifique se há algo escutando em qualquer porta que não deva ser
  • se você tiver um aplicativo de tendências do rrdtool (como Cacti, Munin ou Ganglia), consulte os gráficos e procure um possível período de tempo para o ataque.
  • verifique a versão do seu servidor da web e veja se há problemas de segurança conhecidos sobre ele.

Além disso, mantenha sempre isso em mente:

  • desligar os serviços que você não precisa
  • testar backups regularmente
  • siga o princípio de menos privilégios
  • atualize seus serviços, principalmente em relação às atualizações de segurança
  • não use credenciais padrão

Espero que isto ajude.

Marco Ramos
fonte
1
+1, quando comprometido, salve uma cópia do "novo" conteúdo e restaure tudo de um backup. (Apenas mais um motivo para manter bons backups ).
Chris S
1

Sim, isso é conhecido como Network Forensics. Essencialmente, ele está analisando os logs da rede e do servidor para encontrar a origem do ataque e o que foi comprometido. Para fazer isso, embora você geralmente precise de um especialista forense, e mesmo quando descobrir o que aconteceu, o pior que você pode fazer é processar o agressor ou acusá-lo por um ato criminoso. Uma desfiguração na Web realmente não é vista como um crime enorme, ou seja, a menos que haja dinheiro perdido pela empresa como resultado do ataque. Se for sério, você deve entrar em contato com a autoridade apropriada e eles ajudarão na coleta de evidências. Aqui está uma lista de quem entrar em contato por crimes cibernéticos. http://www.justice.gov/criminal/cybercrime/reporting.htm Além disso, isso não conta como aconselhamento jurídico.

Daisetsu
fonte
3
Por que você precisaria de um especialista forense para analisar os logs do Apache? Um conhecimento prático do Linux e Apache deve ter qualificação suficiente.
MDMarra 27/05
1
Eu estava falando do ponto de vista legal. Se você quiser uma revisão informal, coloque os logs na frente do cara.
@Daisetu - O OP não disse nada sobre repercussões legais para o atacante. Ele perguntou especificamente o que procurar para descobrir o que havia de errado.
MDMarra