Die Quelle der Malware finden?

Question

Ihre Website wurde kompromittiert/verunstaltet. Wenn das passiert, ist es normalerweise sehr schwierig, alle Schritte des Angreifers nachzuvollziehen. Die beste Lösung ist, die kompromittierten Server neu zu installieren. Andererseits müssen Sie forensische Untersuchungen durchführen, um herauszufinden, was möglicherweise passiert ist, und um zu verhindern, dass es erneut passiert.

Hier ist eine Liste der Dinge, die es zu überprüfen lohnt:

Überprüfen Sie, ob Ihr Webserver und Ihre FTP-Serverversionen bekannte Schwachstellen aufweisen
Schauen Sie sich alle Logdateien an, die Sie finden können, insbesondere die des Webservers, des FTP-Servers und der Systemdateien. Suchen Sie in den Webserver-Logdateien nach Beiträgen
Sind irgendwelche Dienste aktiv, die Sie nicht benötigen? Sind sie über das Internet erreichbar? Schließen Sie sie jetzt, überprüfen Sie ihre Protokolle und suchen Sie nach möglichen bekannten Schwachstellen.
Führen Sie Rootkit-Checker aus. Sie sind nicht unfehlbar, können Sie aber in die richtige Richtung führen. chkrootkit und insbesondere rkhunter sind die richtigen Tools für diese Aufgabe
Führen Sie nmap von außerhalb Ihres Servers aus und prüfen Sie, ob auf einem Port etwas lauscht, wo dies nicht der Fall sein sollte.
Wenn Sie über eine rrdtool-Trending-Anwendung (wie Cacti, Munin oder Ganglia) verfügen, sehen Sie sich die Diagramme an und suchen Sie nach einem möglichen Zeitrahmen des Angriffs.

Denken Sie außerdem immer daran:

Schalten Sie alle Dienste ab, die Sie nicht benötigen
Sichern Sie alles, was Sie zum Wiederaufbau Ihres Servers benötigen, und testen Sie die Backups regelmäßig
Befolgen Sie das Prinzip der geringsten Privilegien
Lassen Sie Ihre Dienste auf dem neuesten Stand halten, insbesondere hinsichtlich Sicherheitsupdates
keine Standardanmeldeinformationen verwenden

Hoffe das hilft!

Answer 1

Ihre Website wurde kompromittiert/verunstaltet. Wenn das passiert, ist es normalerweise sehr schwierig, alle Schritte des Angreifers nachzuvollziehen. Die beste Lösung ist, die kompromittierten Server neu zu installieren. Andererseits müssen Sie forensische Untersuchungen durchführen, um herauszufinden, was möglicherweise passiert ist, und um zu verhindern, dass es erneut passiert.

Hier ist eine Liste der Dinge, die es zu überprüfen lohnt:

Überprüfen Sie, ob Ihr Webserver und Ihre FTP-Serverversionen bekannte Schwachstellen aufweisen
Schauen Sie sich alle Logdateien an, die Sie finden können, insbesondere die des Webservers, des FTP-Servers und der Systemdateien. Suchen Sie in den Webserver-Logdateien nach Beiträgen
Sind irgendwelche Dienste aktiv, die Sie nicht benötigen? Sind sie über das Internet erreichbar? Schließen Sie sie jetzt, überprüfen Sie ihre Protokolle und suchen Sie nach möglichen bekannten Schwachstellen.
Führen Sie Rootkit-Checker aus. Sie sind nicht unfehlbar, können Sie aber in die richtige Richtung führen. chkrootkit und insbesondere rkhunter sind die richtigen Tools für diese Aufgabe
Führen Sie nmap von außerhalb Ihres Servers aus und prüfen Sie, ob auf einem Port etwas lauscht, wo dies nicht der Fall sein sollte.
Wenn Sie über eine rrdtool-Trending-Anwendung (wie Cacti, Munin oder Ganglia) verfügen, sehen Sie sich die Diagramme an und suchen Sie nach einem möglichen Zeitrahmen des Angriffs.

Denken Sie außerdem immer daran:

Schalten Sie alle Dienste ab, die Sie nicht benötigen
Sichern Sie alles, was Sie zum Wiederaufbau Ihres Servers benötigen, und testen Sie die Backups regelmäßig
Befolgen Sie das Prinzip der geringsten Privilegien
Lassen Sie Ihre Dienste auf dem neuesten Stand halten, insbesondere hinsichtlich Sicherheitsupdates
keine Standardanmeldeinformationen verwenden

Hoffe das hilft!

Die Quelle der Malware finden?

Antwort1

verwandte Informationen