Sito elencato come violato da un gruppo di hacker

Naviga le tue risposte
4

Ero Googling su uno dei miei domini (ospitato su hosting condiviso) e ho trovato una pagina web in cui era elencata come Hacked Site, la lista appartenente a un certo gruppo nazionale di hacking (il paese che affermano appartenere è noto per molti internazionali problemi, ma il paese, in quanto tale, non ha accordi nel mondo degli hacker).

Solo la pagina dell'indice di root è pubblica mentre il resto dei dati è protetto dall'autenticazione HTTP. Inoltre, ogni pagina (oltre alla registrazione dal cPanel) ha anche il proprio script di registrazione delle visite che registra i dati delle visite al DB e nessuno dei due meccanismi di registrazione mostra un'attività insolita negli ultimi mesi. Inoltre, nessuno dei miei file sembra essere stato alterato o modificato.

Al momento della scrittura, ho bloccato completamente tutti gli accessi alla maggior parte delle cartelle / dati e ho cambiato password e nome utente per il primo non bloccato. Il dominio viene utilizzato principalmente da noi per test e sperimentazione.

  • È forse una richiesta falsa? (C'è molto poco da suggerire un'intrusione che passa attraverso i registri e lo stato dei file, db ecc.)
  • Come posso diagnosticare meglio la situazione?
  • Dato che è sulla lista degli hacker, dovrei abbandonare il dominio e / o l'host?
posta check123 28.12.2011 - 10:06
fonte

2 risposte

4

Potrebbe facilmente essere un falso reclamo - e sembra che tu abbia fatto le cose giuste per quanto riguarda i log di controllo, il database ecc. - e puoi eseguire un'analisi forense approfondita (o tu stesso o contrarre una delle tante aziende che fanno questo) ma se hai qualche dubbio dovresti pianificare il peggio - un rootkit.

Se hai un rootkit ben nascosto, l'unica opzione è pulire completamente la macchina e ricominciare da fonti conosciute.

Il tuo punto sull'elenco di un hacker dipende da cosa stanno dicendo. Se è puramente un elenco di "noi sfregiato / pegno di questi siti", allora non ci penserei nemmeno una volta che l'hai protetto.

    
risposta data 28.12.2011 - 10:37
fonte
2

  1. Sì, potrebbe essere un falso reclamo

  2. "protetto dall'autenticazione HTTP": una sicurezza appena eccezionale. Anche quando è esclusivamente su SSL - è?

  3. "oltre alla registrazione da cPanel" - erk!

  4. "Anche nessuno dei miei file sembra essere stato alterato o modificato" - come hai fatto a controllarlo? Hai controllato tutti i file sul server?

Molto dipende dall'accesso al sistema. Se si tratta di un server condiviso, è possibile che non si abbia alcuna visibilità di un compromesso sul tuo vhost. Significa anche che si sarà molto limitati su ciò che si sarebbe in grado di implementare sul server. Anche se si tratta di un server dedicato, il reclamo potrebbe riguardare un problema di avvelenamento del DNS che non ha alcun impatto sullo stato del server né sul tuo accesso ad esso.

Come si controlla che non ci siano file aggiuntivi distribuiti sul server (al contrario delle modifiche dei file)?

Se hai motivo di preoccuparti, puliscilo e ridistribuiscilo. Se non hai la possibilità di farlo, non sopravvivrai a un attacco reale, quindi prendi questa configurazione. Dai anche un'occhiata alla distribuzione di IDS basati su host come tripwire o coperchi.

    
risposta data 28.12.2011 - 12:24
fonte

Leggi altre domande sui tag

Quanti fattori di autenticazione ci sono? Fail2Ban non mette al bando il tentativo di login di root fallito