L'ISP ci ha informati che il nostro server sta lanciando attacchi a forza bruta sui siti WordPress, come possiamo concludere? [duplicare]

1

Situazione diversa:

-Il login del server è ottenuto da un hacker, l'hacker inserisce un file di forza bruta dannoso in / hacked / bruteforce /

- La password del server viene quindi cambiata, l'hacker può ancora eseguire lo script navigando nel proprio file sul server che verrà eseguito su richiesta (presumo?)

Domanda:

Sarebbe una combinazione di modifica della password di login del server e aggiunta di un file .htaccess protetto da password per bloccare l'hacker nelle loro tracce? Oppure si può ancora evitare un .htaccess in termini di riesecuzione dello script dell'hacker?

Sono molto nuovo alla sicurezza del server ma sono ansioso di imparare qualsiasi cosa e tutto ciò che chiunque può dirmi! Apprezzo molto tutti i consigli. Anche tutte le risorse di conoscenza raccomandate saranno pienamente utilizzate!

LA NOSTRA SITUAZIONE:

Ecco le informazioni fornite dal nostro host.

il tuo server / cliente con l'IP: * ha attaccato uno di i nostri server / partner. Gli aggressori hanno utilizzato il metodo / servizio: bruteforcelogin su: sabato 14 Nov 2015 - ora esatta fornita qui - . Il tempo indicato è dal server-time dell'utente Blocklist che presentato il rapporto. L'attacco è stato segnalato al Blocklist.de-System su: Sun, 15 nov 2015 - ora esatta fornita qui -

Eccone un altro:

Linee contenenti IP-ip qui-: NON ORDINATO (da molte macchine diverse)! DESTINAZIONE-IP: -ip informazioni qui -

Luoghi-IPS: -ip informazioni qui -

-ip qui- - - [14 / Nov / 2015: -tempo preciso fornito qui-] "POST wp-login.php HTTP / 1.1 "200 4366" referer-domain.tld "" Mozilla / 5.0 (Windows NT 6.1; WOW64; rv: 40.0) Gecko / 20100101 Firefox / 40.0 "

-ip qui- - - [14 / Nov / 2015: -tempo preciso fornito qui-] "POST /wp-login.php .... troncato .... 0 "POST wp-login.php HTTP / 1.1" 200 4366 "referer-domain.tld" "Mozilla / 5.0 (Windows NT 6.1; WOW64; rv: 40.0) Gecko / 20100101 Firefox / 40,0"

-ip qui- - - [14 / Nov / 2015: -tempo preciso fornito qui-] "POST wp-login.php HTTP / 1.1 "200 5117" referer-domain.tld "" Mozilla / 5.0 (Windows NT 6.1; WOW64; rv: 40.0) Gecko / 20100101 Firefox / 40.0 "

Saluti, Jay.

    
posta Jay 20.11.2015 - 08:12
fonte

1 risposta

1

Cambiare la password del server o .htaccess molto probabilmente non farà nulla ora che l'hacker ha già ottenuto l'accesso e installato software dannoso sul sistema. Su un sistema Linux vorrei dapprima verificare (come root) quali socket sono aperti e quali processi li stanno usando:
netstat -anp | meno
netstat -anp elenca tutti i socket con il processo proprietario e li convoglia in "less" per scorrere l'elenco. Se il server è un server dedicato, è possibile acquisire il traffico utilizzando l'utilità tcpdump e analizzarlo con, ad esempio, wireshark. I VPS spesso non consentono di sniffare. Tuttavia, se l'hacker è stato intelligente e ha coperto le sue tracce, il sistema potrebbe non visualizzare le prese utilizzate dal programma dannoso. In questo caso è necessario un controllo di sicurezza dettagliato dell'intero sistema.

    
risposta data 20.11.2015 - 13:41
fonte