10 votos

¿Sitio web desfigurado, qué puedo hacer?

¿Sitio web de mi empresa ha sido desfigurado, siempre tengo el registro de acceso raw apache, hay algo que pueda hacer para analizar cuándo y qué salió mal?

¿Quiero decir que cuidarnos entre todos los miles y miles línea de registro?

Gracias por la ayuda

4voto

nik Puntos 5456

Daisetsu's respuesta está en las líneas de la derecha.
Pero, usted podría ser capaz de obtener algunos de los análisis que se realice sin tener que contratar a tiempo completo a la exportación.
Voy a añadir un par de enlaces a artículos cortos que le dan la esencia de lo que se puede hacer.

  1. En la Web de la Seguridad de las Preguntas de la Entrevista en WebAppSec
  2. Mediante sus registros del servidor web para encontrar servidores web comprometidos en DigitalOffencive
  3. ¿Qué hacer después de un Sitio Web de la Deformación?

Sugerencia: trasladar esta pregunta a ServerFault puede obtener más dirigida y respuestas sobre lo que se puede hacer.

4voto

Marco Ramos Puntos 2212

Cuando un sistema se ve comprometida/borrado nunca estás seguro de si todo estaba limpia y en mi humilde opinión, la mejor solución es siempre volver a instalarlo, pero usted necesita hacer algunos análisis forense para entender lo que sucedió y prevenir que vuelva a suceder.

Aquí está una lista de cosas importantes para comprobar:

  • echa un vistazo a todos los archivos de registro que puede, especialmente en el servidor web y el sistema. En el servidor de la web los archivos de registro, verificación de puestos
  • ejecutar rootkit damas. Que no eres infalible, pero puede llevar en la dirección correcta. chkrootkit y especialmente rkhunter son las herramientas para el trabajo
  • ejecutar nmap desde fuera de tu servidor y comprobar si hay algo que escuchar en cualquier puerto que no debería ser
  • si tienes una rrdtool tendencias de la aplicación (como los Cactus, Munin o Ganglios) echa un vistazo a los gráficos y la búsqueda de un marco de tiempo de la atack.
  • compruebe la versión de su servidor web y ver si hay problemas de seguridad conocidos acerca de él.

También, siempre mantenga esto en mente:

  • apagar los servicios que usted no necesita
  • copias de seguridad de prueba sobre una base regular
  • siga el principio de privilegio mínimo
  • tiene a sus servicios actualizados, especialmente con respecto a las actualizaciones de seguridad
  • no utilizar las credenciales predeterminadas

Espero que esto ayude.

1voto

Daisetsu Puntos 202

Sí, esto se conoce como análisis Forense de Red. Esencialmente está mirando a través de la red y de los registros del servidor con el fin de encontrar el origen del ataque y lo que fue comprimido. Para hacer esto, sin embargo, usualmente se necesita un forense especialista, e incluso cuando usted averiguar lo que sucedió, lo peor que podría hacer es demandar al agresor o conseguir acusado de un delito. Una web desfiguración de la realidad no es visto como un gran crimen, que está a menos de que no era dinero perdido por la compañía como resultado del ataque. Si es grave, usted debe contactar a la autoridad correspondiente y que va a ayudar con la recolección de evidencia. Aquí está una lista de a quién contactar para el delito cibernético. http://www.justice.gov/criminal/cybercrime/reporting.htm También esto no cuenta como un consejo legal.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: