私は、lighttpd の古いバージョン (freebsd 6.2-RELEASE (古い) マシン上の 1.4.19) を実行しているサーバーを所有しており、Google がサーバーのページの 1 つにマルウェアが埋め込まれているのを発見したと警告しました。それはたまたま私たちのインデックス ページでした。私はすぐにマルウェアを削除し、マルウェアがどのようにしてそこに侵入したのかをサーバーのログで調べ始めました。編集されたファイルのログには痕跡がまったくなく、インデックス ページの所有者が lighttpd ユーザーである www に変更されていることに気付きました。そこで、そのソフトウェア バージョンには何らかの脆弱性が存在するに違いないと結論付け、すぐに 1.4.26 にアップグレードしました。
マルウェアが戻ってきました。ftp、lighttpd、およびすべてのログイン試行を使用して、かなり詳細なサーバー ログを開始し、このスクリプトがどのように侵入したかを確認しようとしています。他にとるべきアプローチについて何か提案はありますか?
答え1
ウェブサイトが侵害されたり、改ざんされたりした場合、通常、攻撃者のすべての手順を再現するのは非常に困難であり、最善の解決策は侵害されたサーバーを再インストールすることです。一方で、何が起こったのかを解明し、再発を防ぐために、フォレンジック調査を実行する必要があります。
確認する価値のある項目のリストは次のとおりです。
- ウェブサーバーとFTPサーバーのバージョンに既知の脆弱性があるかどうかを確認します
- できる限りすべてのログファイル、特にウェブサーバー、FTPサーバー、システムのログファイルを調べてください。ウェブサーバーのログファイルでは、投稿をチェックしてください。
- 必要のないサービスが実行されていませんか? インターネットからアクセス可能でしょうか? 今すぐそれらを停止し、ログをチェックして、既知の脆弱性がないか確認してください。
- ルートキットチェッカーを実行します。絶対確実ではありませんが、正しい方向に導いてくれます。chkrootkit と特に rkhunter は、この作業に適したツールです。
- サーバーの外部から nmap を実行し、リッスンすべきでないポートで何かがリッスンしているかどうかを確認します。
- rrdtool トレンド アプリケーション (Cacti、Munin、Ganglia など) をお持ちの場合は、グラフを確認して、攻撃の可能性のある時間枠を検索してください。
また、常に次の点に留意してください。
- 必要のないサービスをすべて停止する
- サーバーの再構築に必要なものをすべてバックアップし、定期的にバックアップをテストします。
- 最小権限の原則に従う
- 特にセキュリティアップデートに関して、サービスを更新してください
- デフォルトの資格情報を使用しない
お役に立てれば!