Il mio registro di Apache mi fa impazzire [chiuso]

0

Quindi, la scorsa notte ho esaminato il registro Apache del mio account di hosting condiviso per la prima volta. C'era un sacco di traffico che sembrava sospetto, in particolare un sacco di richiesta GET da un dominio, registrato a un tizio in Cina, che veniva reindirizzato al mio server. Mi sono guardato intorno e ho scoperto che è abbastanza comune che la gente richieda cose per verificare la presenza di vulnerabilità nel tuo sito, ecc.

Poi ho visto una richiesta GET con il mio nome utente FTP al suo interno, non creato da me e in quel momento ho iniziato a preoccuparmi che il mio server fosse stato compromesso. Prontamente ho iniziato a prendere le misure, assicurandomi che tutto fosse aggiornato, cambiando password, nome utente del mio FTP, account di hosting e praticamente tutto quello che potevo pensare. Ora vedo lo stesso tipo di richieste, con il mio nome utente FTP modificato, ancora non da me.

Questo mi fa impazzire.

Non c'è nulla di molto grave sul mio webserver, sono solo un paio di siti di base con cui ho giocato (principalmente). Nessun dato cliente o qualcosa di così sensibile. Lo uso solo per ospitare la mia pagina web / curriculum online per il momento.

Tuttavia, non ho alcuna esperienza su come gestire questo & Sono un po 'a disagio per quello che sta succedendo. Il mio sito è molto semplice, quindi posso facilmente ricostruirlo da zero .. Qual è la migliore linea d'azione qui? Masterizza tutto e amp; ricominciare?

Un milione di ringraziamenti a chiunque abbia il tempo di rispondere, potrei davvero usare qualche consiglio su questo.

    
posta John 20.08.2013 - 04:03
fonte

2 risposte

1

Usi qualche applicazione per accedere al tuo account FTP? La prima cosa che farei è controllare l'origine della connessione FTP. Alcune applicazioni potrebbero salvare le tue credenziali se hai selezionato e ti connetteresti periodicamente. Non spaventare ancora, controlla l'IP di origine della connessione FTP. Se proviene da uno dei tuoi IP, probabilmente è una password salvata in una delle tue applicazioni. Se si tratta di qualcosa di altrove (Cina), potresti anche avere problemi con il tuo computer personale, come hai detto che hai cambiato il nome utente e che è apparso nei log quando non lo hai usato.

    
risposta data 20.08.2013 - 04:16
fonte
0

Dovresti trattarlo come se la macchina fosse stata compromessa. In effetti, dovresti probabilmente sempre lavorare sul presupposto che un sistema pubblico sarà compromesso e prendere le misure necessarie per mitigare questo, sia preventivamente (attraverso la crittografia dei dati, l'uso di password forti e uniche, l'igiene dei log corretta) sia per facilitare recupero (backup storici, documentazione, ecc.)

Per quanto riguarda specificamente ciò che si dovrebbe fare su un sistema compromesso, c'è una bella risposta canonica a quella su serverfault: link

    
risposta data 20.08.2013 - 08:55
fonte

Leggi altre domande sui tag