i miei siti Web sono stati infettati da un malware non riesco a ottenere nessuna informazione su [closed]

Naviga le tue risposte
-1

abbiamo un server, sul quale ospitiamo circa 30 siti. questi sono siti di test per i nostri clienti. molti di loro non sono nemmeno indicizzati da google.

alcuni girano su php, altri su nodejs, altri su ruby. tutti quelli che girano su php sono stati infettati.

il 27 e il 28 maggio in molte directory (non solo quelle di root) come segue:

consumer.php images / config.db

il consumer.php tenta di connettersi a 176.123.2.3.

ora potevo semplicemente rimuoverli e il problema sarebbe stato risolto temporaneamente.

ma come posso scoprire il punto di ingresso? Immagino che abbiano usato un bug in PHP (dato che solo i siti PHP sono stati infettati)?

Grazie.

    
posta memical 03.06.2013 - 22:16
fonte

2 risposte

2

I log possono aiutarti a determinare quando, cosa e dove. Se usi Apache e una versione di Unix (BSD / Linux / etc), inizierei con quanto segue: 

tail -n 100000 /path/to/apache/logs/access_log | awk '/27\/May\/2013/'|grep 404 > 05-27-2013-404s.txt

tail -n 100000 /path/to/apache/logs/access_log | awk '/27\/May\/2013/'|grep 403 > 05-27-2013-403s.txt

Questo analizza le ultime 100.000 voci in access_log, analizza il 27 maggio, quindi 404 e 403. A condizione che 1) tu stia utilizzando Apache 2) il tuo formato di log memorizza le date come "27 / May / 2013".

Da lì, vorrei anche analizzare le directory dal registro stesso. È HIGHLY LIKELY che la prima voce che ha colpito quella directory è la parte responsabile della compromissione della macchina. Puoi quindi prendere l'IP associato a quella prima voce e tornare indietro e guardare i tuoi registri per trovare quando è stata la prima volta che sono arrivati, a cosa hanno accesso, ecc.

    
risposta data 03.06.2013 - 22:30
fonte
0

Sembra probabile che tu non abbia un corretto isolamento tra i tuoi ambienti. Se tutti gli script PHP vengono eseguiti come lo stesso utente, un compromesso in uno di essi consentirebbe l'accesso a qualsiasi parte del sistema che l'utente PHP esegue come se avesse accesso.

La soluzione migliore sarebbe quella di formattare e ricostruire il tuo server, anche se le autorizzazioni dell'utente PHP sono limitate per impedire l'accesso all'amministratore, potresti semplicemente cancellare semplicemente tutto ciò che quell'utente ha avuto accesso alla modifica. Devi anche assicurarti di passare a una configurazione isolata in modo che sia più facile identificare la fonte delle intrusioni.

    
risposta data 03.06.2013 - 22:29
fonte

Leggi altre domande sui tag

Quanto tempo ci vuole per rompere una password winrar lunga 100 lettere? [chiuso] Con quale facilità si può crackare la chiave di un assembly .NET?