Server Apache Mantiene la connessione HTTPS al server misterioso (dirottamento?)

0

Sono stato su un piano di web hosting condiviso per 10 anni e di recente ho spostato tutti i miei siti (vari siti WordPress e plugin associati, tutti in PHP, un sito MediaWiki e un sacco di cose statiche) al mio VPS . Yay! Ora non ho nessuno da incolpare me stesso per eventuali problemi relativi a disponibilità, prestazioni e sicurezza .

Riguardo alla sicurezza, stavo verificando l'output di 'netstat' su questo VPS basato su Linux oggi e ho notato che avevo una connessione stabilita con la porta 443 (HTTPS) su un altro server. Ho scoperto che nome DNS questo indirizzo IP si è risolto e ho colpito i google. Questo dominio è associato solo a truffe e frodi monetarie.

Quindi questa connessione HTTPS è semplicemente in agguato. Visito il sito e la pagina radice è un po 'di JavaScript che raccoglie alcune informazioni di base sul browser dell'utente e le dimensioni dello schermo e quindi reindirizza a una seconda pagina del sito che pianta un cookie.

Ho eseguito lsof -i e ho stabilito che uno dei processi Apache sul mio server ha stabilito la connessione al server sicuro.

Qualche idea su cosa potrebbe succedere qui? Sembra abbastanza chiaro che sta succedendo qualcosa di losco. La mia migliore teoria è che un utente malintenzionato stia prendendo in mano un processo Apache che, a sua volta, richiede in modo dinamico JavaScript tramite una connessione crittografata e lo inserisce nelle pagine in uscita.

Altri punti dati: ho cercato tra tutti i miei file e non sono riuscito a trovare alcuna traccia di questo nome DNS o del suo indirizzo IP; tuttavia, so che non sono prove conclusive perché ho visto un malware basato su JS che può nascondere facilmente gli URL. Inoltre, ho controllato tutti i miei computer che hanno accesso ai miei vari siti e non riesco a trovare alcuna traccia del cookie che il JS dovrebbe piantare (il che potrebbe significare solo che non avevo ancora ricevuto il sospetto processo Apache).

Sempre il programmatore, volevo provare a riprodurre il problema, quindi ho riavviato il server e non ho visto la connessione ristabilirsi.

Ho alcune idee su mitigazione o tracciamento (blocco delle connessioni al server non valido, tramite firewall o il file / etc / hosts; reindirizzare le richieste HTTPS al mio sistema con un certificato falso solo per indagare sulla transazione di rete se lo stesso circostanze sorgono di nuovo). Sembra davvero strano che la connessione sia stata lasciata aperta (quando poteva semplicemente recuperare la pagina una volta e averla terminata), ma forse questa era una condizione errata e non doveva rimanere aperta.

Scusa se questo è un sacco di dettagli, o se sto pensando troppo a qualcosa di semplice. Sono solo paranoico nel prendermi cura della mia piccola fetta di internet. Speravo di vedere se questi dettagli attivassero gli allarmi di familiarità.

    
posta Multimedia Mike 06.08.2014 - 07:54
fonte

2 risposte

1

Odio questo tipo di problemi. Ci sono così tanti posti in cui qualcosa potrebbe essere successo.

Penso che dovrei semplicemente ricontrollare i miei file di configurazione - è sempre una buona idea avere una copia dei file di configurazione validi. Io uso uno strumento basato su GIT per la versione di tutti i miei. Quindi puoi facilmente individuare eventuali modifiche sconosciute e ripristinarle.

Quindi aggiungo il dominio a IPTABLES e lo blocco completamente.

    
risposta data 06.08.2014 - 22:51
fonte
-3

Usi la libreria hybridauth in una delle tue applicazioni php?

C'è una vulnerabilità in questa libreria, se non segui le istruzioni di installazione e rimuovi il file install.php, allora avrai lasciato il tuo sistema aperto per attaccare.

maggiori dettagli su questo:

link

link

    
risposta data 26.09.2014 - 14:34
fonte

Leggi altre domande sui tag