Hai bisogno di assistenza per diagnosticare il sito Web compromesso

2

Nonostante tutto il mio lavoro per rafforzare il mio sito web, qualcuno è riuscito a modificarlo.

Quando si carica la pagina iniziale in IE8, la pagina sembra caricarsi normalmente. Quindi, la barra di stato visualizza brevemente una richiesta a un dominio che è solo un miscuglio di lettere seguito da .com. Apre una finestra di Windows Media Player e, quando questo si apre, lo schermo di IE diventa rosso con un avviso "questo sito è stato segnalato come non sicuro".

In Chrome, il sito si carica normalmente e ricevo un avviso che il plug-in Java richiede la mia autorizzazione per l'esecuzione. Non ho concesso il permesso.

In Firefox, tutto sembra normale, ma nel mio menu NoScript c'è un elemento etichettato " link ", che ovviamente ho bloccato.

La buona notizia è che sono stato in grado di catturare un filmato sullo schermo del problema in IE ed è stato in grado di annotare il dominio del malware per la ricerca.

Quando ho notato per la prima volta il problema, ho avviato Wireshark e da allora ho registrato tutto dentro e fuori il mio PC. Ciò mi ha fornito più richieste DNS con nomi di dominio collegati all'attacco. Ho anche scaricato i log del server. Il nostro intero sito è stato spostato in una directory di attesa e un messaggio "non disponibile" è stato inserito nella radice del nostro dominio. Ho cambiato la nostra password di accesso al server.

Ho scaricato una copia della nostra home page dal server e l'ho analizzata. Il dominio dannoso non si trova da nessuna parte in esso. Io uso alcune librerie JavaScript esterne, come jQuery, che vengono caricate da server remoti. Mi chiedo se qualcosa potrebbe essere successo su uno di quei server?

Ora non sono abbastanza sicuro di cosa fare dopo. Sono un creatore, non un esperto di sicurezza. La mia attuale posizione non ha un dipartimento IT o di sicurezza informatica per ricevere assistenza, quindi cerco aiuto da chiunque possa riconoscere i sintomi di questo attacco.

AGGIORNAMENTO: ho trovato file dannosi nel mio server identici a quelli descritti in link

Aggiornamento 26 ottobre: dopo aver esaminato i file di registro, ho scoperto che l'hack è stato eseguito tramite FTP. Evidentemente il mio login è stato rubato in qualche modo.

    
posta Paul S. 08.10.2011 - 00:13
fonte

1 risposta

8

Passaggi per affrontare un attacco del genere:

  • In questo caso particolare, è importante smettere di servire il sito, quindi il firewalling off sarebbe appropriato - a un dispositivo gateway o staccando la spina.
  • Avanti avresti bisogno di immaginare tutto ciò che puoi. Alcuni dati possono essere ottenuti solo dal vivo dalla macchina. Ho trovato una decente guida focalizzata su Windows per te da CERT.
  • Da lì è necessario prendere provvedimenti per identificare il modo in cui è stato compromesso e impedire che si ripeta.
  • Quando hai scoperto i passaggi necessari per proteggere la macchina, utilizza una nuova immagine.

I sintomi di questo attacco sono che qualcosa è riuscito a modificare i dati offerti dal tuo sito web. Potrebbero essere limitati solo ai file serviti dal sito o potrebbero aver compromesso l'intero sistema.

Dovrai passare il tuo tempo a confrontare buoni dati con i dati danneggiati. L'hashing di tutti i file tra le directory è un modo semplice per iniziare.

Oltre a ciò, penso che tu abbia un sacco di tempo e di apprendimento davanti a te, o un esperto di forensics / malware / sicurezza generale in outsourcing che non vede l'ora come cliente.

    
risposta data 08.10.2011 - 02:04
fonte

Leggi altre domande sui tag