Il mio computer locale è stato infettato da malware proveniente da un server Web dei client

Naviga le tue risposte
3

Ho un cliente per il quale ho sviluppato un nuovo sito, non è ancora in diretta perché voleva che eseguissi il backup del vecchio sito prima. Si trattava di un sito di tipo "directory" completamente personalizzato e la società che lo ha creato (nel 2003), penso, costruisci ogni singolo modulo per farlo da zero.

Naturalmente comincio a guardare la grande quantità di cartelle che si trovano sul server e cosa c'è all'interno di quelle cartelle. Ho notato che c'erano alcuni file PHP a caratteri casuali, e anche file di caratteri casuali con l'ultima parte del nome del file "php.jpg" e che mi ha colpito come strano.

Esaminando i file PHP è stato molto facile capire che tipo di allegato era come il creatore dello strumento ha lasciato la sua firma nella parte superiore e inferiore dei file.

I file in formato immagine sono ciò che mi ha colpito come interessante, presumo che siano stati messi lì come un fail-safe, quindi se qualcuno che notasse i file PHP infetti, questo aggressore aveva un modo per ripristinare l'accesso rinominando la "immagine" file di formato.

Quindi ecco dove sono diventato stupido o volevo solo assicurarmi che questi file di immagine possano essere legittimi e che sia necessario eseguire il backup per il client. Grosso errore. Ho aperto un file e Windows 10 Security Center l'ha immediatamente contrassegnato come un'infezione.

Ecco il registro eventi mi ha fornito per quanto riguarda la minaccia.

Poiché si trattava di un account di hosting condiviso, senza accesso alla shell, non ero in grado di installare alcun tool di sicurezza basato su Linux, (clamav, rkhunter, ecc.).

Che cosa avresti fatto in questa situazione? È sufficiente eseguire il backup dell'intero sito e lasciare le infezioni nei file di backup oppure eseguire la pulizia e la pulizia degli hack?

    
posta Chris Quinn 02.03.2018 - 13:11
fonte

1 risposta

4

Con il mio cappello sviluppatore su:

  • Se il nuovo sito è "tutto nuovo", incluso il sistema operativo, non avrei indagato sul sito compromesso. Lo avrei etichettato come un "evento passato".

  • Se il nuovo sito era sul server esistente, non modificato, dopo aver visto le prove dell'hack, avrei ricostruito il server da zero e non mi sarei preoccupato di comprendere i dettagli dell'hack.

  • Se il nuovo sito si basa sul sito esistente, vorrei conoscere la natura dell'hack per determinare come procedere.

Con il mio cappello InfoSec su:

  • Vorrei indagare sull'hack per vedere fino a che punto è andata e quanti dati sensibili potrebbero essere stati esposti e quale minaccia in corso esiste per il client. Ma quella minaccia è informata su quali dati e quale impatto ci sarebbe se questo server fosse stato violato.

Risposta breve: indagate per capire l'entità della minaccia e l'impatto. Se l'ambito non ha importanza, non è necessario indagare (il pane ammuffito è solo un problema se si spera di mangiarlo, non se è nel contenitore del compost). Ma immagino che ci siano cose da imparare sulle minacce per il tuo cliente, e vorrei indagare.

Per quanto riguarda "ripulire gli hack", non sono sicuro del valore di farlo, ma ciò dipende da cosa speri di fare con il file di backup. Vorrei eseguire il backup del sito e taggarlo come avente file dannosi. Se speri di accedere regolarmente ai file di backup, potrei rimuovere i file ovviamente infetti.

    
risposta data 02.03.2018 - 13:37
fonte

Leggi altre domande sui tag

Ho iniziato a conoscere gli attacchi MITM e non riesco a capire alcune cose A cosa serve proteggere la direttiva CSP-sri-for?