Forensics dopo il compromesso del web server

5

Stavo usando sftp per dare accesso ai client a certe cartelle in modo che potessero modificare i loro host virtuali apache come desiderato. Fino a quando qualcuno ha caricato una backdoor php e cancellato tutti gli host virtuali :).

Mi chiedevo se c'è un modo per ottenere l'IP dell'attaccante?

Credo che non vedrò nulla in access.log perché la maggior parte delle backdoor php più comuni usano la funzione di sistema per eseguire comandi nella shell.

    
posta opc0de 09.05.2013 - 21:34
fonte

2 risposte

4

La cosa più importante da capire è che il tuo server è compromesso fino in fondo. Sebbene l'autore dell'attacco non possa aver installato alcun rootkit o simili, non hai modo di saperlo. Le tue uniche opzioni è portare il sistema offline e analizzarlo usando una fonte esterna. Prima è, meglio è, altrimenti resterai calpestato da qualsiasi prova attraverso l'uso normale del server.

Quindi, in pratica, prendi il server offline, estrai il disco, clonalo, cancellalo, usa i backup (se ce li hai!) per riavere uno stato utilizzabile, quindi inizia a guardare i dati sul disco (ricorda di esaminare solo i dati - non avviare mai il sistema).

Se sei fortunato, troverai tracce dell'attaccante lasciate nei log del server web o nei registri ftp. A seconda del livello di accesso, potresti anche essere in grado di trovare qualcosa nei registri di autenticazione. Ovviamente, controlla tutti i registri che il sistema offre: forse sarai fortunato.

    
risposta data 10.05.2013 - 10:31
fonte
2

Prova a configurare Snorby o qualche altra variante di Snort e ascolta l'attività di rete sulla sottorete o sui segmenti di rete in questione. Probabilmente sarai in grado di iniziare bene su alcune reti legali forensi e capire se si tratta di uno o più backdoor e della fonte / destinazione della tua entrata / uscita.

    
risposta data 09.05.2013 - 21:40
fonte

Leggi altre domande sui tag