¿Encontrar la fuente del malware?

Question

Su sitio web fue comprometido/desfigurado y cuando esto sucede, normalmente es muy difícil recrear todos los pasos de los atacantes y la mejor solución es reinstalar los servidores comprometidos. Por otro lado, es necesario realizar algunos análisis forenses para descubrir qué pudo haber sucedido y evitar que vuelva a suceder.

Aquí hay una lista de cosas que vale la pena comprobar:

vea si hay vulnerabilidades conocidas en su servidor web y en las versiones de su servidor ftp
Eche un vistazo a todos los archivos de registro que pueda, especialmente el servidor web, el servidor ftp y los del sistema. En los archivos de registro del servidor web, busque publicaciones.
¿Hay algún servicio en ejecución que no necesites? ¿Son accesibles desde Internet? Ciérralos ahora, revisa sus registros y busca posibles vulnerabilidades conocidas.
ejecutar comprobadores de rootkits. No son infalibles pero pueden guiarte en la dirección correcta. chkrootkit y especialmente rkhunter son las herramientas para el trabajo
Ejecute nmap desde fuera de su servidor y verifique si hay algo escuchando en algún puerto que no debería estar.
Si tienes una aplicación de tendencias de rrdtool (como Cacti, Munin o Ganglia), echa un vistazo a los gráficos y busca un posible período de tiempo del ataque.

Además, siempre tenga esto en cuenta:

cierra todos los servicios que no necesitas
haga una copia de seguridad de todo lo que necesita para reconstruir su servidor y pruebe las copias de seguridad periódicamente
seguir el principio de privilegio mínimo
tener sus servicios actualizados, especialmente en lo que respecta a las actualizaciones de seguridad
no utilices credenciales predeterminadas

¡Espero que esto ayude!

Answer 1

Su sitio web fue comprometido/desfigurado y cuando esto sucede, normalmente es muy difícil recrear todos los pasos de los atacantes y la mejor solución es reinstalar los servidores comprometidos. Por otro lado, es necesario realizar algunos análisis forenses para descubrir qué pudo haber sucedido y evitar que vuelva a suceder.

Aquí hay una lista de cosas que vale la pena comprobar:

vea si hay vulnerabilidades conocidas en su servidor web y en las versiones de su servidor ftp
Eche un vistazo a todos los archivos de registro que pueda, especialmente el servidor web, el servidor ftp y los del sistema. En los archivos de registro del servidor web, busque publicaciones.
¿Hay algún servicio en ejecución que no necesites? ¿Son accesibles desde Internet? Ciérralos ahora, revisa sus registros y busca posibles vulnerabilidades conocidas.
ejecutar comprobadores de rootkits. No son infalibles pero pueden guiarte en la dirección correcta. chkrootkit y especialmente rkhunter son las herramientas para el trabajo
Ejecute nmap desde fuera de su servidor y verifique si hay algo escuchando en algún puerto que no debería estar.
Si tienes una aplicación de tendencias de rrdtool (como Cacti, Munin o Ganglia), echa un vistazo a los gráficos y busca un posible período de tiempo del ataque.

Además, siempre tenga esto en cuenta:

cierra todos los servicios que no necesitas
haga una copia de seguridad de todo lo que necesita para reconstruir su servidor y pruebe las copias de seguridad periódicamente
seguir el principio de privilegio mínimo
tener sus servicios actualizados, especialmente en lo que respecta a las actualizaciones de seguridad
no utilices credenciales predeterminadas

¡Espero que esto ayude!

¿Encontrar la fuente del malware?

Respuesta1

información relacionada