Come faccio a capire come il malware ha infettato il mio server e i siti successivi sul server?

Question

Come faccio a capire come il malware ha infettato il mio server e i siti successivi sul server?

#1 da (0 voti)
#2 da (0 voti)

2

Recentemente ho avuto l'incarico di riparare il nostro server al lavoro e di pulire i siti su di esso. Siamo stati infettati da alcuni malware che hanno iniettato del codice in alcuni dei nostri siti Web dei clienti. Apparentemente, c'erano anche altre attività sul server. Comprende:

Hacking della forza bruta (posso verificarlo con i registri di autenticazione)
tentativi di reindirizzamento del malware. La gente ha iniziato a ricevere avvertimenti da Norton e ho ricevuto anche un avviso da Firefox.

Dopo aver rimosso completamente i siti Web e reinstallato, uno alla volta e aggiungendo plug-in di sicurezza, tutto è andato a buon fine. Ho rinforzato la sicurezza del server con fail2ban e altre varie patch di sicurezza e utilità. Tutto sembra essersi attenuato e gli attacchi sembrano essere completamente spariti o resi irrilevanti.

Non sono nuovo ad Apache, Linux, PHP, MySQL e una miriade di altri argomenti correlati al Web (SEO, Marketing, ecc.), ma non so da dove iniziare quando si tratta di sicurezza. Voglio dire, non so nemmeno come sia iniziato il problema di iniezione / XSS / malware. Non so chi l'abbia iniziato e perché. Non so nemmeno veramente, se la minaccia e il problema sono stati corretti. Dove comincio con queste domande?

Alcune informazioni di base:

I siti sono alimentati con Wordpress (ultima versione) con plugin di sicurezza.
Utilizzo di Apache2 con il server Ubuntu 11.10.
Impostazione LAMP con sicurezza di base in atto

linux apache malware xss

posta willbeeler 16.02.2012 - 15:59

fonte

2 risposte

0

Accetto tutto sopra. Una buona scansione VA (Nessus, OpenVAS, ecc.) È in ordine, seguita dall'esame di un utile plugin per Wordpress.

Sicurezza BulletProof Protezione della sicurezza del sito Web WordPress. Protezione della sicurezza del sito Web contro: XSS, RFI, CRLF, CSRF, Base64, Code Injection e SQL Injection hacking ... link

E quindi seguire la guida generale per l'indurimento di Wordpress: link

risposta data 17.02.2012 - 07:54

fonte

Leggi altre domande sui tag linux apache malware xss

Come si chiama questo computer hardened? [chiuso] Seeding GPG keygen con un hash segreto [duplicato]

score 0 · Accepted Answer

Bene, vedo un sacco di domande là dentro! Lascia che li prenda uno alla volta!

Quindi ci sono due vettori di attacco nel tuo caso. La tua webapplication e il server web stesso.

I mean, I don't even know how the injection/XSS/malware problem even began. I don't know who started it, and why.

Tutti i problemi di iniezione / XSS / malware / reindirizzamento sono fondamentalmente problemi con la tua applicazione web. Indurire il tuo server con patch e software come failban non ti aiuteranno. Probabilmente dovresti rivedere il tuo codice web per assicurarti di non essere inclini a SQLi e XSS. C'è solo una soluzione: la validazione !. Convalida (e scappa) tutti i bit di informazioni che ricevi dai tuoi utenti. Che si tratti di data, campi di sola lettura, campi nascosti, elenchi a discesa, pulsanti di opzione o altro.

Per i reindirizzamenti, dovresti controllare la fonte delle tue pagine per vedere il codice che causa il reindirizzamento. Puoi quindi eseguire il grep del tuo codice base per vedere se quel pezzo di codice viene aggiunto ai tuoi file php / html (indicando un'interruzione del server tramite FTP / SSH) OPPURE se quel codice si è fatto strada nei tuoi database MySQL (indicando un'iniezione sql sul tuo web-application).

Ricorda che gli attacchi SQLi / XSS non impiegano molti tentativi, quindi è improbabile che failban vieti tali IP.

Riguardo a chi l'ha iniziato e quando, puoi provare a guardare i log di accesso di apache per vedere se riesci a trovare qualcosa di interessante. Se un attacco è stato montato sulla tua applicazione web e utilizzato i parametri della querystring, i log di accesso potrebbero averlo registrato.

Hai anche menzionato:

Brute Force Hacking (I can verify this with the Auth logs)

I tentativi SSH / FTP di forza bruta su qualsiasi server del sito pubblico non sono rari. Le porte SSH vengono costantemente bombardate da attacchi basati sul dizionario. Suggerirei di avere autenticazione basata su chiave e disabilitazione dell'autenticazione password del tutto. Se ciò non è possibile, dovresti avere password piuttosto forti che non possono essere forzate brute .