Gestione di un server infettato da malware

0

Ho un server web che è pesantemente infettato da malware. Cioè, circa 12 siti web (CMS obsoleti) sono infetti da shell PHP e XSS. I miei siti Web sono vietati e non sono più accessibili. Ho accesso SSH ma non posso eseguire i comandi di root.

Domanda: Quali sono i modi con cui posso verificare la presenza di shell sul mio server web senza essere in grado di collegarmi direttamente ai siti web e accesso SSH a privilegi bassi.

NeoPI è stato utile per trovare alcuni di essi, che sono stati controllati manualmente.

ShellDetector fornisce molti falsi positivi.

Sono aperto a suggerimenti su come eliminare il malware.

    
posta Sanidhay 28.11.2015 - 09:28
fonte

1 risposta

1

Dato che non hai accesso da te stesso, ritengo che questo compromesso si limiti solo al tuo account. Altrimenti il proprietario del server probabilmente si sarebbe già occupato del problema.

Il modo migliore è probabilmente nuotare il sito e configurarlo di nuovo, ma solo dopo aver controllato come è arrivato l'attaccante e assicurarsi che non sia più possibile.

Il modo migliore per verificare dove è stato compromesso esattamente il tuo server è quello di confrontare tutti i dati con una versione conosciuta. Non conosco la configurazione, ma è normale eseguire lo sviluppo del sito su un sistema locale e quindi eseguire il mirroring dei dati sul sistema remoto. Pertanto dovrebbe essere possibile confrontare queste due versioni o semplicemente ripristinare il sito dalla copia locale. Non che sia necessario controllare anche se i file esistono in remoto che non esistono localmente.

Se invece hai fatto tutte le modifiche sul sistema di produzione e non hai copie locali allora mi dispiace molto per te dato che questo significa in effetti che devi guardare tutti i file e vedere se differiscono da quello che ricorda. I tempi di modifica dei file potrebbero essere un indicatore di un cambiamento ma non sono affidabili poiché possono essere facilmente impostati su altre volte (anche più vecchi) senza richiedere privilegi speciali.

Inoltre potrebbero esserci modifiche al database. Se l'applicazione web crea dinamicamente l'HTML in base ai frammenti nel database, devi esaminare tutti i record per individuare eventuali anomalie.

Se hai accesso ai file di registro del server, questi sono anche una buona fonte quando cerchi comportamenti anormali, ma spetta a te sapere come funziona il tuo sito e cosa sarebbe considerato anormale.

E infine il tuo sito potrebbe essere vulnerabile dagli attacchi di inclusione dei file remoti (RFI). In questo caso non troverai molte tracce sul tuo sistema locale, perché i file utilizzati nell'attacco potrebbero risiedere su un sistema remoto. Quindi assicurati che la tua applicazione web sia sicura. Dovresti farlo comunque perché altrimenti è molto probabile che tu venga compromesso velocemente.

Tieni presente che la semplice ricerca di malware noti non è sufficiente perché anche piccole modifiche al malware esistente lasceranno il malware in funzione ma non lo troverai più.

    
risposta data 28.11.2015 - 10:16
fonte

Leggi altre domande sui tag