Come verificare chi ha caricato il malware [duplicato]

0

Il mio sito Web è stato violato o tentato di essere hackerato. Posso vedere file caricati malevoli sul server del mio sito Web: esiste un modo in cui posso rivelare l'indirizzo IP di chi ha caricato il file?

Anche il mio sito web è su WordPress e ci sono molte modifiche e codici maligni, quindi c'è un modo per vedere chi ha modificato quei file? Ho controllato Awstats , webalizer ma non riesco a ottenere molte informazioni.

    
posta user153388 15.07.2017 - 02:35
fonte

1 risposta

0

Due possibilità, con alcuni Ifs .

Possibilità 1:

  1. Dai un'occhiata ai timestamp creati sui file dannosi (supponendo che siano file separati); o timestamp dell'ultima modifica (se il malware è stato iniettato in uno dei tuoi file).

Se hai accesso ai log di accesso del tuo server web (a seconda del piano di hosting e del fornitore di servizi, la posizione, il nome e il metodo per ottenerli saranno diversi); e

Se si dispone di tali registri per l'intervallo di tempo in cui tali file sono stati creati / modificati; poi

  1. Cerca tra quei log per i messaggi PUT o POST indirizzati a quei file.

Dato che hai già citato webalyzer, probabilmente lo hai già fatto. Spero che il restringimento che ho menzionato potrebbe aiutare; o l'uso di un altro strumento (anche una ricerca manuale attraverso i registri) potrebbe identificare ciò che viene perso.

Possibilità n. 2:

Alcuni plugin per la sicurezza di wordpress (non tutti) creano log separati che puoi scavare. So che il servizio di Sucuri fa questo; e probabilmente anche WordFence. Ho un prodotto che fa questo ( ActiFend ) anche se i registri sono memorizzati sui nostri server.

Se stavi usando un qualsiasi di questi plugin -oppure qualsiasi altra soluzione di registrazione remota, tu o qualsiasi analista della sicurezza sarebbe in grado di scavare attraverso di essi per avere un'idea dell'IP address (che non è lo stesso di chi l'ha fatto , ma è ancora qualcosa).

Per il futuro: essere preparati è la chiave. Se accetti di essere hackerato in un determinato momento o nell'altro, dovrai configurare sia il monitoraggio remoto che il ripristino.

    
risposta data 15.07.2017 - 17:46
fonte

Leggi altre domande sui tag