Encontrar a fonte do malware?

Question

Seu site foi comprometido/defigurado e quando isso acontece, normalmente é muito difícil recriar todas as etapas do invasor e a melhor solução é reinstalar os servidores comprometidos. Por outro lado, você precisa realizar algumas análises forenses para descobrir o que possivelmente aconteceu e evitar que aconteça novamente.

Aqui está uma lista de coisas que vale a pena verificar:

veja se existem vulnerabilidades conhecidas em seu servidor web e nas versões do seu servidor FTP
dê uma olhada em todos os arquivos de log que puder, especialmente o servidor web, o servidor ftp e os do sistema. Nos arquivos de log do servidor web, verifique as postagens
há algum serviço em execução que você não precisa? Eles são acessíveis pela Internet? Feche-os agora, verifique seus logs e verifique possíveis vulnerabilidades conhecidas.
execute verificadores de rootkit. Eles não são infalíveis, mas podem levá-lo na direção certa. chkrootkit e especialmente rkhunter são as ferramentas para o trabalho
execute o nmap de fora do seu servidor e verifique se há algo escutando em alguma porta que não deveria estar.
se você tiver um aplicativo de tendências rrdtool (como Cacti, Munin ou Ganglia), dê uma olhada nos gráficos e procure um possível período de tempo do ataque.

Além disso, sempre tenha isso em mente:

desligue todos os serviços que você não precisa
faça backup de tudo que você precisa para reconstruir seu servidor e teste backups regularmente
siga o princípio do menor privilégio
atualize seus serviços, principalmente em relação às atualizações de segurança
não use credenciais padrão

Espero que isto ajude!

Answer 1

Seu site foi comprometido/defigurado e quando isso acontece, normalmente é muito difícil recriar todas as etapas do invasor e a melhor solução é reinstalar os servidores comprometidos. Por outro lado, você precisa realizar algumas análises forenses para descobrir o que possivelmente aconteceu e evitar que aconteça novamente.

Aqui está uma lista de coisas que vale a pena verificar:

veja se existem vulnerabilidades conhecidas em seu servidor web e nas versões do seu servidor FTP
dê uma olhada em todos os arquivos de log que puder, especialmente o servidor web, o servidor ftp e os do sistema. Nos arquivos de log do servidor web, verifique as postagens
há algum serviço em execução que você não precisa? Eles são acessíveis pela Internet? Feche-os agora, verifique seus logs e verifique possíveis vulnerabilidades conhecidas.
execute verificadores de rootkit. Eles não são infalíveis, mas podem levá-lo na direção certa. chkrootkit e especialmente rkhunter são as ferramentas para o trabalho
execute o nmap de fora do seu servidor e verifique se há algo escutando em alguma porta que não deveria estar.
se você tiver um aplicativo de tendências rrdtool (como Cacti, Munin ou Ganglia), dê uma olhada nos gráficos e procure um possível período de tempo do ataque.

Além disso, sempre tenha isso em mente:

desligue todos os serviços que você não precisa
faça backup de tudo que você precisa para reconstruir seu servidor e teste backups regularmente
siga o princípio do menor privilégio
atualize seus serviços, principalmente em relação às atualizações de segurança
não use credenciais padrão

Espero que isto ajude!

Encontrar a fonte do malware?

Responder1

informação relacionada