Verifica se un server è compromesso

Naviga le tue risposte
0

Offro hosting web / shell gratuito / a basso costo come organizzazione non profit (Con lo stesso amico e co-fondatore) dal 2007.

Siamo su CentOS 6 + CPanel, e sfortunatamente stiamo ancora finanziando l'organizzazione con i nostri stessi soldi. Dall'anno scorso, abbiamo notato alcuni sottodomini strani, domini aggiuntivi e domini di parcheggio creati per siti Web di phishing, di solito li sospendiamo o li interrompiamo fino a quando non abbiamo notato che era casuale ea volte su account di clienti fidati o addirittura nostri (account admin personali) .

2 mesi fa, abbiamo noleggiato un server nuovo e più strong, lo abbiamo riconfigurato da zero e abbiamo migrato l'account CPanel, cambiato le password, impedito l'accesso root senza password e modificato la nostra chiave di accesso WHM, ma i domini / sottodomini "strani" stanno ancora comparendo e BuyCpanel (il nostro rivenditore di licenze CPanel) ci ha detto che sembra essere un server compromesso e dovremmo investigarlo.

Vorremmo indagare da soli ma non sappiamo da dove iniziare o come risalire all'origine del "compromesso", abbiamo controllato le connessioni root, le connessioni FTP, le connessioni WHM, non possiamo trovare traccia di uno script che crea i sottodomini. Puoi darci qualche consiglio?

Grazie

    
posta Max13 08.06.2014 - 05:49
fonte

2 risposte

1

Tutti i consigli iniziano dicendo di disconnettere il server da Internet, cosa che potrebbe non essere possibile qui. Il problema è che un determinato utente malintenzionato può aggirare eventuali modifiche che rendi "live" più velocemente di quanto tu possa modificare le cose.

Uno dei tuoi maggiori problemi è la tua dipendenza da software di terze parti come CPanel. Questo mostra vulnerabilità regolari che consentirebbero agli aggressori di ottenere l'accesso remoto e privilegi elevati. A meno che tu non possa spostare le funzioni di gestione del dominio e del DNS da CPanel e disabilitarle, non sono sicuro che riuscirai a risolvere completamente il problema.

Suggerirei di spostare quella parte del servizio su un server secondario che non usa CPanel e ha un'installazione server minima. Assicurarsi che tutti gli account dispongano di password lunghe e non connettere i due sistemi finché non si è completamente consolidato il nuovo server. Devi assicurarti di avere IPTABLES configurato correttamente e di aver spostato qualsiasi accesso remoto a porte non standard (non lasciare SSH sulla porta 22 per esempio o non sarai mai in grado di individuare problemi reali nei tuoi log dai tentativi di hacking costanti .).

Devi anche rendere tutti i tuoi utenti consapevoli del problema in corso. Tienili informati.

Inoltre, hai modificato tutte le password e i certificati dell'account dopo l'aggiornamento dopo Heartbleed?

    
risposta data 08.06.2014 - 23:37
fonte
1

Se vuoi iniziare, avvia la scansione della cartella public_html di ogni account. Se hai molti domini, ci vorrà molto tempo. Fondamentalmente vuoi cercare la parola 'base64_encode' in tutti i file. Puoi farlo comprimendo public_html e scaricandolo da cpanel. Una volta scaricato, devi scaricare un altro software chiamato textcrawler ( link ) che ti renderà più facile trovare determinate parole nella cartella.

Sul lato server puoi installare firewall come CSF ( link ), mod security e scansionare clamav.

Inoltre puoi controllare se il sito web contiene malware o no andando su sitecheck3.sucuri.net.

    
risposta data 09.06.2014 - 10:09
fonte

Leggi altre domande sui tag

OWA + Politica di blocco AD: abbastanza la miscela Le migliori pratiche per due servizi Web che devono autenticarsi l'un l'altro [chiuso]