वेबसाइट डिफेक्टेड है, मैं क्या कर सकता हूं?

10

मेरी कंपनी की वेबसाइट ख़राब कर दी गई है, बशर्ते मेरे पास अपाचे रॉ एक्सेस लॉग है, क्या ऐसा कुछ है जो मैं विश्लेषण कर सकता हूं कि कब और क्या गलत हुआ?

मेरा मतलब है कि उन सभी हजारों और लॉग की हजारों लाइन के बीच क्या देखना है?

सहायता के लिए धन्यवाद

apache-2.2  security  forensics 
sted
स्रोत

जवाबों:

4

Daisetsuका जवाब सही लाइनों पर है।
लेकिन, हो सकता है कि आप बिना पूर्णकालिक निर्यात के भी कुछ विश्लेषण प्राप्त कर सकें।
मैं छोटे लेखों के लिए कुछ लिंक जोड़ रहा हूं जो आपको बताएंगे कि क्या किया जा सकता है।

  1. WebAppSec पर वेब सुरक्षा साक्षात्कार प्रश्न
  2. DigitalOffencive में समझौता वेब सर्वर खोजने के लिए अपने वेब सर्वर लॉग का उपयोग करना
  3. एक वेब साइट के बाद क्या करें ?

सुझाव: इस प्रश्न को सर्वरफॉल्ट पर ले जाने से जो किया जा सकता है उस पर अधिक निर्देशित उत्तर मिल सकते हैं।

Nik
स्रोत
लिंक और सुझावों के लिए धन्यवाद, मैं इसे सर्वरफॉल्ट पर कैसे स्थानांतरित कर सकता हूं? सर्वरफॉल्ट की तरह लगता है कि यह पूछने के लिए सबसे उपयुक्त जगह है
SteD
@SteD, आप इसे वहां पोस्ट कर सकते थे। लेकिन, अब दूसरी पोस्टिंग न करें, :-)यह पहले से ही वहां ले जाया जा रहा है, इसके लिए कुल 5 वोट चाहिए। मैंने खान में जोड़ा है - दूसरों की मदद करेंगे।
निक
4

जब किसी सिस्टम से छेड़छाड़ / अवहेलना की जाती है तो आपको कभी भी यकीन नहीं होता है कि सब कुछ साफ हो गया है और IMHO सबसे अच्छा उपाय है कि इसे फिर से स्थापित किया जाए, लेकिन आपको यह समझने के लिए कुछ फोरेंसिक करने की आवश्यकता है कि क्या हुआ और इसे फिर से होने से रोकना चाहिए।

यहाँ जाँच करने के लिए महत्वपूर्ण बातों की एक सूची है:

  • विशेष रूप से वेबसर्वर और सिस्टम वाले प्रत्येक लॉगफाइल्स पर एक नज़र डालें। वेबसर्वर लॉगफ़ाइल्स में, पदों के लिए जाँच करें
  • रूटकिट चेकर्स चलाएं। वे अचूक नहीं हैं, लेकिन आपको सही दिशा में ले जा सकते हैं। chkrootkit और विशेष रूप से rkhunter काम के लिए उपकरण हैं
  • अपने सर्वर के बाहर से नैम्प चलाएं और जांचें कि क्या किसी पोर्ट पर कुछ सुनना है जो नहीं होना चाहिए
  • यदि आपके पास rrdtool ट्रेंडिंग एप्लिकेशन (जैसे कैक्टि, मुनिन या गंगालिया) है, तो एक नज़र ग्राफिक्स लें और एटैक के संभावित समय सीमा की खोज करें।
  • अपने वेबसर्वर के संस्करण की जाँच करें और देखें कि क्या इसके बारे में ज्ञात सुरक्षा मुद्दे हैं।

इसके अलावा, हमेशा यह ध्यान रखें:

  • उन सेवाओं को बंद करें जिनकी आपको आवश्यकता नहीं है
  • एक नियमित आधार पर बैकअप का परीक्षण करें
  • कम से कम विशेषाधिकार सिद्धांत का पालन करें
  • आपकी सेवाओं को अपडेट किया गया है, विशेषकर सुरक्षा अपडेट के बारे में
  • डिफ़ॉल्ट क्रेडेंशियल्स का उपयोग न करें

उम्मीद है की यह मदद करेगा।

मार्को रामोस
स्रोत
1
+1, जब समझौता किया जाता है, तो "नई" सामग्री की एक प्रति सहेजें, और एक बैकअप से सब कुछ पुनर्स्थापित करें। ( अच्छा बैकअप रखने के लिए सिर्फ एक और कारण )।
क्रिस एस
1

हाँ, यह नेटवर्क फोरेंसिक के रूप में जाना जाता है। यह मूल रूप से नेटवर्क और सर्वर लॉग के माध्यम से देख रहा है ताकि हमले की उत्पत्ति का पता लगाया जा सके और इसका क्या अनुपालन किया गया। ऐसा करने के लिए हालांकि आपको आमतौर पर एक फोरेंसिक विशेषज्ञ की आवश्यकता होती है, और यहां तक ​​कि जब आपको पता चलता है कि क्या हुआ, तो सबसे बुरा आप हमलावर पर मुकदमा कर सकते हैं या उन्हें एक आपराधिक कार्य के लिए आरोपित कर सकते हैं। एक वेब डिफैक्शन को वास्तव में बहुत बड़े अपराध के रूप में नहीं देखा जाता है, जब तक कि हमले के परिणामस्वरूप कंपनी द्वारा खो दिया गया पैसा नहीं होता। यदि यह गंभीर है तो आपको उचित प्राधिकारी से संपर्क करना चाहिए और वे साक्ष्य के संग्रह में मदद करेंगे। साइबर अपराध के लिए किसे संपर्क करना है, इसकी एक सूची यहां दी गई है। http://www.justice.gov/criminal/cybercrime/reporting.htm यह भी कानूनी सलाह के रूप में नहीं गिना जाता है।

Daisetsu
स्रोत
3
अपाचे लॉग का विश्लेषण करने के लिए आपको एक फोरेंसिक विशेषज्ञ की आवश्यकता क्यों होगी? लिनक्स और अपाचे का एक कामकाजी ज्ञान पर्याप्त योग्यता होना चाहिए।
एमडीमैरा
1
मैं कानूनी दृष्टिकोण से बोल रहा था। यदि आप कुछ अनौपचारिक समीक्षा चाहते हैं, तो लॉग को इस लड़के के सामने रखें।
@Daisetu - ओपी ने हमलावर के लिए कानूनी नतीजों के बारे में कुछ नहीं कहा। उन्होंने विशेष रूप से पूछा कि क्या पता लगाना है कि क्या गलत है।
एमडीमैरा
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.