Identificazione di un exploit in corso?

Naviga le tue risposte
5

Recentemente sono stato contattato da una persona che affermava di aver trovato una vulnerabilità nel mio sito. Sono stati in grado di provarlo inviando una lista dei miei database (alcuni dei quali erano stati creati ma mai utilizzati o referenziati da nulla), un elenco completo della directory del mio webroot (non così impressionante, ma includeva i file nascosti ), così come il contenuto dei file di configurazione per MediaWiki e un campione da uno dei database. Sembra che siano stati in grado di rilasciare un database, così come eseguire un aggiornamento di massa su un altro per introdurre i link di spam sul Wiki.

Sembra che li abbia tormentati dicendo che non uso bitcoin e quindi non posso pagarli per nessun "rapporto" su come stanno facendo questo - non che io voglia, naturalmente.

Ho davvero bisogno di aiuto per capire tutto ciò che posso per fermare questo attacco prima che venga causato qualsiasi ulteriore danno - Mi scuso se questo non è il posto giusto per queste cose, ma è la prima cosa che mi viene in mente. Sarebbe molto apprezzato qualsiasi consiglio, che andasse dall'arrestare l'attacco a eventuali rovesciamenti. Se hai bisogno di maggiori informazioni, chiedi!

    
posta Niet the Dark Absol 26.12.2014 - 23:46
fonte

2 risposte

9

Non provare a trasformare i tavoli.

Basta disconnettere il sito da Internet, prendere copie forensi (se vuoi provare e scoprire esattamente cosa è successo, o passare alle forze dell'ordine) e poi pulire e ricostruire da zero.

Poiché le probabilità di rintracciare gli autori sono incredibilmente magre, ti suggerirei di non sprecare i tuoi soldi. Basta cancellare e ricostruire e cercare di eseguire il giardinaggio dell'installazione prima di connetterla nuovamente online. Questo dovrebbe includere le ultime patch per piattaforma, sistema operativo, applicazioni ecc., Opzioni di configurazione e indicazioni generali per la protezione avanzata.

    
risposta data 27.12.2014 - 00:21
fonte
3

È impossibile rispondere completamente senza sapere nulla sul sito o avere il permesso di testarlo. Presumo che il sito sia "pokefarm.com"?

Ecco una panoramica generale di cosa farei se fossi in te.

Hai qualche cosa da imparare su codifica sicura e strumenti di sicurezza, e cercare di proteggere un sito mentre viene attivamente attaccato sarà frustrantemente inefficace. Non sai quale livello di accesso hanno o niente.

Quindi, porta il sito offline e crealo pulito ed eseguilo in un ambiente di test / macchina virtuale finché non viene risolto. Potrei obiettare che è irresponsabile lasciarlo fuori se è compromesso in quanto potrebbe essere usato per attaccare gli altri.

Cerca nei registri del server Web come potrebbero averli ricevuti e da dove potrebbero provenire. Nei log cercare errori di database, file non trovati e qualsiasi altro comportamento misterioso. (Il suggerimento di Rory Alsop di prendere una copia forense è buono)

Per correggere:

  1. Esamina OWASP Top Ten . Prova a trovare posizioni nel codice o nella configurazione dove potresti aver introdotto alcune delle vulnerabilità descritte Là. Ad esempio, posizioni in cui non si è riusciti a disinfettare correttamente parametri forniti dall'utente. Correggi quelle posizioni.

  2. Esegui uno scanner di sicurezza open source contro la tua app. ( ZED , W3AF , SQLMap ) SQLMap è utile per le Iniezioni SQL. SQLMap richiederà molto tempo per te, a meno che tu non possa restringere il campo dove il bug (s) è / sono. W3AF potrebbe aiutare a restringere i luoghi.

  3. Correggi i bug che hai trovato con lo scanner.

  4. Installa mod_security per il tuo apache per bloccare gli attacchi Web più comuni.
  5. Ripristina il sito.

Manutenzione in corso:

Guarda i registri. Avere un modo per essere avvisati quando determinate directory nascoste e / o tabelle di database sono accessibili tramite il web. Registra altri eventi relativi alla sicurezza (modifiche al ruolo, nuovi utenti, accessi non riusciti, accessi riusciti)

    
risposta data 27.12.2014 - 00:40
fonte

Leggi altre domande sui tag

Double NAT è un modo sicuro per creare una rete pubblica Wi-Fi? Come crittografare in modo sicuro i dati con uno schema di crittografia delle chiavi pubblico-privato, ma consentire anche la decrittografia se la chiave privata viene persa?