Website unkenntlich gemacht, was kann ich tun?

10

Die Website meines Unternehmens wurde unkenntlich gemacht, vorausgesetzt, ich habe das Apache-Raw-Zugriffsprotokoll. Kann ich irgendetwas tun, um zu analysieren, wann und was schief gelaufen ist?

Ich meine, worauf sollte man bei all diesen Tausenden und Abertausenden von Holz achten?

Danke für die Hilfe

apache-2.2  security  forensics 
SteD
quelle

Antworten:

4

DaisetsuDie Antwort ist in den richtigen Zeilen.
Möglicherweise können Sie jedoch einige Analysen durchführen, ohne auch einen Vollzeit-Export zu beauftragen.
Ich füge ein paar Links zu kurzen Artikeln hinzu, die Ihnen einen Überblick darüber geben, was getan werden kann.

  1. Fragen zum Web Security-Interview bei WebAppSec
  2. Verwenden Sie Ihre Webserver-Protokolle, um gefährdete Webserver bei DigitalOffencive zu finden
  3. Was tun nach einer Website-Defacement ?

Vorschlag: Wenn Sie diese Frage auf ServerFault verschieben, erhalten Sie möglicherweise gezieltere Antworten darauf, was getan werden kann.

nik
quelle
Vielen Dank für die Links und Vorschläge. Wie kann ich dies auf ServerFault verschieben? Es scheint, als wäre Serverfault der am besten geeignete Ort, um dies zu erfragen
SteD
@SteD, Du hättest es dort posten können. Aber jetzt mache kein zweites Posting :-)Es wird schon dorthin verschoben, braucht dafür insgesamt 5 Stimmen. Ich habe in meinem hinzugefügt - andere werden helfen.
Nik
4

Wenn ein System kompromittiert / unkenntlich gemacht wird, sind Sie sich nie sicher, ob alles gereinigt wurde, und meiner Meinung nach besteht die beste Lösung immer darin, es neu zu installieren. Sie müssen jedoch einige forensische Untersuchungen durchführen, um zu verstehen, was passiert ist, und um zu verhindern, dass es erneut passiert.

Hier ist eine Liste wichtiger Dinge, die überprüft werden müssen:

  • Schauen Sie sich alle Protokolldateien an, die Sie können, insbesondere den Webserver und die Systemdateien. Suchen Sie in den Webserver-Protokolldateien nach Beiträgen
  • Führen Sie Rootkit-Checker aus. Sie sind nicht unfehlbar, können Sie aber in die richtige Richtung führen. chkrootkit und besonders rkhunter sind die Werkzeuge für den Job
  • Führen Sie nmap von außerhalb Ihres Servers aus und überprüfen Sie, ob an einem Port etwas zu hören ist, das nicht sein sollte
  • Wenn Sie eine rrdtool-Trendanwendung haben (wie Cacti, Munin oder Ganglia), schauen Sie sich die Grafiken an und suchen Sie nach einem möglichen Zeitrahmen für den Angriff.
  • Überprüfen Sie die Version Ihres Webservers und prüfen Sie, ob Sicherheitsprobleme bekannt sind.

Denken Sie auch immer daran:

  • Fahren Sie die Dienste herunter, die Sie nicht benötigen
  • Testen Sie Backups regelmäßig
  • Folgen Sie dem Prinzip der geringsten Privilegien
  • Lassen Sie Ihre Dienste aktualisieren, insbesondere in Bezug auf Sicherheitsupdates
  • Verwenden Sie keine Standardanmeldeinformationen

Hoffe das hilft.

Marco Ramos
quelle
1
+1 Speichern Sie bei einer Kompromittierung eine Kopie des "neuen" Inhalts und stellen Sie alles aus einer Sicherung wieder her. (Nur ein Grund mehr , gute Backups zu führen ).
Chris S
1

Ja, dies wird als Netzwerkforensik bezeichnet. Im Wesentlichen werden Netzwerk- und Serverprotokolle durchsucht, um den Ursprung des Angriffs und die Komprimierung zu ermitteln. Um dies zu tun, benötigen Sie normalerweise einen Forensiker, und selbst wenn Sie herausfinden, was passiert ist, können Sie den Angreifer am schlimmsten verklagen oder ihn einer Straftat beschuldigen. Eine Web-Verunstaltung wird wirklich nicht als großes Verbrechen angesehen, es sei denn, das Unternehmen hat durch den Angriff Geld verloren. Wenn es ernst ist, sollten Sie sich an die zuständige Behörde wenden, die Ihnen bei der Sammlung von Beweismitteln hilft. Hier ist eine Liste der Ansprechpartner für Cyberkriminalität. http://www.justice.gov/criminal/cybercrime/reporting.htm Auch dies gilt nicht als Rechtsberatung.

Daisetsu
quelle
3
Warum benötigen Sie einen Forensiker, um Apache-Protokolle zu analysieren? Grundkenntnisse in Linux und Apache sollten ausreichend sein.
MDMarra
1
Ich habe aus rechtlicher Sicht gesprochen. Wenn Sie eine informelle Überprüfung wünschen, stellen Sie die Protokolle vor den it-Typ.
@Daisetu - Das OP hat nichts über die rechtlichen Auswirkungen für den Angreifer gesagt. Er fragte speziell, wonach er suchen müsse, um herauszufinden, was schief gelaufen sei.
MDMarra
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.