Il mio sito web è stato violato, cosa devo fare dopo? [chiuso]

2

. Non ho potuto vedere altre domande come questa su Sec.Se quindi ho pensato di chiedere.

Il mio sito web pubblico www.foo.com è stato violato. La prima pagina lo sta inviando per essere reindirizzato a seoblog.fooblog.com al fine di ottenere ranghi di pagina.

L'aggressore (basato sulla lingua del blog (indonesiano)) è presumibilmente all'estero. Posso rintracciarli e perseguire?

Che cosa dovrei fare dopo?

Devo sapere:

  • Come scoprire come hanno ottenuto
  • Come trovare da dove viene l'attacco
  • Come trattare i miei risultati
  • Quando coinvolgere Law Enforcemnet
  • Come impedire che l'attacco si ripeta

Spero che tu possa aiutare:)

    
posta NULLZ 09.02.2013 - 12:48
fonte

4 risposte

6

Questo è un forum per esperti di sicurezza IT che non sono esperti legali nel diritto internazionale IT, quindi le domande sull'azione penale / applicazione della legge sono per lo più fuori tema. Anche se prima dovrei indurire il tuo sistema e poi pensare a provare a perseguire; come rintracciare chi era l'utente umano dall'altra parte non è un compito banale, specialmente se è successo all'estero.

Puoi descrivere la tua configurazione? È su un server Linux / server Windows / host condiviso / blog wordpress?

Ci hai dato pochissime informazioni. Prima di capire come sono entrati, vediamo prima cosa sta succedendo.

In che modo è inoltrato ?

  • JavaScript? (Ad esempio, disabilita javascript nel tuo browser - continua comunque?)
  • Tag di aggiornamento META HTTP o in un iframe? Utilizza un'utilità come curl / wget per scaricare una copia statica del codice html dalla tua pagina web. È tutto in un gigante <iframe> o c'è un tag come <META http-equiv="refresh" content="0;URL='http://random_other_site.com' />
  • 3xx HTTP Redirect? Utilizzare un'utilità per esaminare le intestazioni HTTP. Ad esempio, in google chrome - premi ctrl-shift-I per visualizzare gli strumenti per sviluppatori, vai alla scheda "Rete" e prova a visitare la tua pagina. Se il codice di stato http è 302/304 (o qualcos'altro nei 300), hanno modificato il codice del server. Puoi accedere al tuo server?
  • DNS che indica il tuo dominio da qualche altra parte? Esegui dig www.foo.com : punta al tuo indirizzo IP? (Probabilmente sono riusciti a cambiare i tuoi autorevoli record DNS - vai al tuo registrar per riprendere il controllo. Probabilmente sono riusciti a ottenere le tue password dal tuo registar in qualche modo.)
  • Avvelenamento da ARP sulla rete locale? (Prova a visitare il tuo sito da una rete diversa). (Se questo è il caso, basta bloccare i router.)
  • Sono stati modificati i contenuti per i loro contenuti sul tuo sito Web servito dal tuo server web? (Cerca password deboli, vulnerabilità in cui utenti non autorizzati possono caricare file).

Per quanto riguarda il modo in cui entrano; dipende dal tipo di attacco. Forse tu (o qualsiasi altro utente con accesso) hai una password debole (ed è stato indovinato) o una che hai riutilizzato altrove, o un debole meccanismo di reset della password, o sei autenticato nel tuo server senza usare SSL, o hai loggato una volta da una macchina con un keylogger e l'attaccante ha catturato le tue informazioni di accesso. Forse il tuo sito era vulnerabile a dire che lo scripting cross-site ha iniettato un javascript dannoso per reindirizzare il tuo sito. Forse il tuo sito è configurato debolmente, strumenti usati che hanno conosciuto vulnerabilità di 0 giorni che hanno permesso agli aggressori di caricare in modo casuale i file da pubblicare e modificare il contenuto.

    
risposta data 09.02.2013 - 16:51
fonte
2

The attacker (based on the language of the blog (Indonesian)) is presumably overseas. Can i track them down and prosecute?

Direi di no; a meno che tu non sia un cittadino multinazionale (che può più facilmente spendere risorse per cacciare le persone in paesi stranieri) - questo quasi certamente non valuterà il tuo tempo. Ma questo non è un consiglio legale, quindi devi fare la tua valutazione qui. Le possibilità di ottenere qualsiasi ricompensa sono incredibilmente piccole.

In termini di come sono entrati, avrai difficoltà a meno che tu non abbia già investito in IDS (Intrusion Detection Systems) di qualche natura. La regola d'oro qui è che una volta compromessa - non puoi più fidarti della macchina . L'attaccante potrebbe aver cancellato i log, modificato i timestamp, ecc. Analogamente a dove proviene - il tuo ISP potrebbe essere in grado di aiutarti (se sei sicuro che sia indonesiano - chiedi tutto il traffico da / verso l'Indonesia, assumendo che non sia un paese con cui spesso intrattengono rapporti commerciali).

È possibile consultare i registri sul server, in particolare i registri di accesso HTTP: il vettore di attacco più probabile per un server HTTP con connessione Web avverrà tramite software Web non sicuro. Controlla le versioni del tuo software per i noti problemi di sicurezza (Wordpress è piuttosto famoso per questo), controlla che le tue password non siano semplicistiche.

Lo scenario più probabile è che alcuni worm automatizzati, probabilmente usando Google, hanno scoperto che il tuo sito stava eseguendo un po 'di software con una vulnerabilità succosa e lo ha colpito. Sto speculando, ma senza ulteriori dettagli, è probabile che siamo dove siamo. Se sei su un host web pubblico e tutti i tuoi file o cartelle sono scrivibili in tutto il mondo, potrebbe trattarsi di uno qualsiasi degli altri siti ospitati sul tuo server.

Supponendo di trovare qualcosa; contatta le forze dell'ordine locali se pensi che punti da qualche parte, ma non terrei il respiro. Se ti trovi in un governo o in un'azienda di grandi dimensioni, dovresti avere un team, un'agenzia o simili da segnalare per assicurarti di fare .

Il bello è che, dato che puoi non fidarti più della macchina (in grassetto di nuovo, è importante), l'opzione migliore è ricominciare . È dura, ma se hanno un amministratore locale, ti rimetteranno di nuovo a martellate.

Si smette di essere una domanda di sicurezza una volta che sei stato effettivamente compromesso - dai un'occhiata a link per altri consigli, ma inizia a diventare una domanda di rischio legale per la tua organizzazione (costa migliaia stare giù? Vale la pena avviare un server forse cattivo?)

Crea di nuovo tutto, aggiusta tutto, ripristina il tuo ultimo backup del database. Quando metti insieme il server, assicurati di posizionare una linea di base sicura ( Processi di certificazione del server ) in modo da poter esaminare i registri salvati su una macchina diversa, di cui ci si può ancora fidare.

    
risposta data 09.02.2013 - 22:28
fonte
1

Hai "bisogno" di sapere come sono entrati. Se stai facendo questa domanda, sembra che tu non ti sia preparato, quindi potresti essere deluso dalle tue opzioni. Conserva log di qualità forense completi, memorizzati separatamente dalla macchina compromessa? In caso contrario, hai letto attentamente i log che hai? Leggi i file di cronologia della shell? Leggere i registri è la soluzione migliore qui, gumshoe.

Hai "bisogno" di sapere da dove viene l'attacco. Questo è internet, dove le macchine vengono hackerate per controllare le botnet per il proxy degli attacchi contro le reti IRC che controllano le botnet. Se l'attaccante ha qualche desiderio di rimanere anonimo, e non sei abbastanza grande da avere governi e compagnie di comunicazione che ti aiutano, tutto ciò che ti rimane è cercare indizi come un gumshoe. Questo può funzionare, se hai il debole per giocare a detective, ma non c'è una risposta magica.

Dato che non sei una grande azienda che ha appena perso milioni di record di clienti o unità di denaro, come "trattare le tue scoperte" e chiedersi "quando coinvolgere le forze dell'ordine" potrebbe prendere le cose un po 'troppo sul serio per la realtà. Sapete quante caccia all'uomo internazionali si svolgono alla ricerca di persone che reindirizzano l'homepage di qualcuno? Zero. Tratta le tue scoperte come indizi nel tuo cyberwar in miniatura. Prendi nota. Chiama l'FBI quando hai perso più di $ 1 milione.

Come impedire che l'attacco si ripeta? Se riesci a capire il vettore di attacco, chiudilo. Se non puoi, allora assumi un consulente per la sicurezza o ricostruisci il tuo sistema con tecnologia completamente diversa e prega.

    
risposta data 10.02.2013 - 01:36
fonte
0

Fornirò la mia metodologia che utilizzo per ripulire i siti compromessi.

Dovrai trovare i file modificati più di recente dalla data in cui hai notato l'hack. Puoi usare find /dir/ -mtime per fare questo. -mtime -1 fornirà informazioni delle ultime 24 ore; controllare tutti quei file per il codice dannoso.

Una volta stabilito un elenco di file modificati che sono dannosi, vorrai stat di essi per la modifica e il tempo di creazione. Quindi controllerai i tuoi registri di trasferimento e i registri FTP in quel momento per trovare l'indirizzo IP degli aggressori e il modo di sfruttarli. Se sei fortunato vedrai come sono arrivati ; di solito, l'autore dell'attacco ha violato il tuo sito mesi prima, causando l'impossibilità di controllare i registri per vedere come / quando il tuo sito è stato violato.

Alcuni degli strumenti più comuni che utilizzo per ripulire i siti compromessi: find , stat , grep -F .

Come detto in precedenza; non siamo avvocati ma esperti di sicurezza IT. Se l'attaccante si trova in un paese straniero, non perdere tempo. Se l'attaccante si trova nel tuo paese nativo, non perdere tempo; la ragione di essere è che hanno probabilmente coperto le loro tracce e se ne sono andati da tempo. La quantità di risorse spese cercando di trovare e punire l'hacker avrebbe potuto essere utilizzare meglio la protezione e la protezione del tuo sito .

    
risposta data 11.02.2013 - 04:25
fonte

Leggi altre domande sui tag