Richieste server monitor e indirizzi IP

2

Ho un VPS Apache di GoDaddy con Wordpress e il tema Enfold. Entrambi sono aggiornati, non sono installati plug-in aggiuntivi.

Il server viene spesso violato e il codice PHP dannoso viene iniettato nella struttura del file. Quei file inviano tonnellate di email.

Non so dove / come gli hacker entrano nel sito. Tutte le password sono state cambiate Ho impostato la seguente regola iptable

-A INPUT -p tcp -m tcp -m multiport ! --dports 20,21,80,443,1030,2083,2086,2087

per bloccare tutte le porte non necessarie per l'utilizzo e lo sviluppo del sito web. (1030 è SSH)

Inoltre, il sito Web utilizza il WAF cloudflare ...

C'è un modo per scrivere uno script bash che monitora tutte le connessioni in entrata al server, quale porta e file hanno accesso e lo registra? Quindi la prossima volta che i file vengono iniettati posso seguire la richiesta in questo momento e vedere quali connessioni / IP / servizio sono stati usati.

Grazie per qualsiasi aiuto per risolvere il problema. Idealmente non vorrei solo sapere come bloccare gli attacchi ma anche come vengono condotti e quali vulnerabilità stanno usando. Dato che l'hack invia e-mail e non abbiamo bisogno di exim al momento, posso facilmente disabilitare il server di posta elettronica. In questo modo posso provare diversi approcci e osservare l'attacco più spesso per capire cosa sta realmente accadendo.

Grazie!

    
posta Tom 18.02.2017 - 00:10
fonte

2 risposte

1

Sarebbe meglio registrare le richieste PHP. Quindi puoi aggiungere un semplice script su index.php per registrare tutti i globals _GET e _POST. In base a ciò, puoi vedere quale richiesta viene inviata con quali parametri al tuo Wordpress causano una violazione.

Il tuo tema usato per avere vurnerabilities, vedi link qui , potrebbe essere che ne abbia ancora alcuni che vengono sfruttati sul tuo sito web. Sfortunatamente, potresti stare da solo nel rintracciarlo tramite _GET e _POST e correggerlo restituendo null se vengono passati parametri dannosi.

    
risposta data 18.02.2017 - 13:19
fonte
1

Il tuo server web probabilmente registra già le richieste. Se il server viene violato è possibile che l'utente malintenzionato pulisca questi registri.

Quindi dovresti automaticamente inviarli a un server remoto (auto-ospitato con solo la porta di registrazione remota aperta, oppure è possibile utilizzare uno dei servizi cloud (papertrail, loggly, ecc.))

Purtroppo non riceverai il corpo delle richieste di POST ma questo è qualcosa che puoi prova a configurare pure.

    
risposta data 18.02.2017 - 23:46
fonte

Leggi altre domande sui tag