Найти источник вредоносного ПО?

Question

Ваш веб-сайт был скомпрометирован/испорчен, и когда это происходит, обычно очень сложно воссоздать все шаги злоумышленников, и лучшим решением будет переустановить скомпрометированные серверы. С другой стороны, вам нужно провести некоторую экспертизу, чтобы выяснить, что могло произойти, и предотвратить повторение этого.

Вот список вещей, которые стоит проверить:

проверьте, есть ли известные уязвимости в версиях вашего веб-сервера и FTP-сервера
просмотрите все возможные файлы журналов, особенно веб-сервера, ftp-сервера и системные. В файлах журналов веб-сервера проверьте сообщения
есть ли запущенные службы, которые вам не нужны? Доступны ли они из Интернета? Закройте их сейчас, проверьте их журналы и проверьте на возможные известные уязвимости.
запустить руткит-чекеры. Они не безошибочны, но могут направить вас в правильном направлении. chkrootkit и особенно rkhunter — инструменты для этой работы
запустите nmap извне вашего сервера и проверьте, не прослушивается ли какой-либо порт, который не должен прослушиваться.
Если у вас есть приложение rrdtool trending (например, Cacti, Munin или Ganglia), посмотрите на графики и найдите возможные временные рамки атаки.

Также всегда помните следующее:

отключите все службы, которые вам не нужны
регулярно делайте резервные копии всего, что вам нужно для восстановления сервера, и проверяйте резервные копии
следовать принципу наименьших привилегий
обновляйте свои службы, особенно обновления безопасности
не используйте учетные данные по умолчанию

Надеюсь это поможет!

Answer 1

Ваш веб-сайт был скомпрометирован/испорчен, и когда это происходит, обычно очень сложно воссоздать все шаги злоумышленников, и лучшим решением будет переустановить скомпрометированные серверы. С другой стороны, вам нужно провести некоторую экспертизу, чтобы выяснить, что могло произойти, и предотвратить повторение этого.

Вот список вещей, которые стоит проверить:

проверьте, есть ли известные уязвимости в версиях вашего веб-сервера и FTP-сервера
просмотрите все возможные файлы журналов, особенно веб-сервера, ftp-сервера и системные. В файлах журналов веб-сервера проверьте сообщения
есть ли запущенные службы, которые вам не нужны? Доступны ли они из Интернета? Закройте их сейчас, проверьте их журналы и проверьте на возможные известные уязвимости.
запустить руткит-чекеры. Они не безошибочны, но могут направить вас в правильном направлении. chkrootkit и особенно rkhunter — инструменты для этой работы
запустите nmap извне вашего сервера и проверьте, не прослушивается ли какой-либо порт, который не должен прослушиваться.
Если у вас есть приложение rrdtool trending (например, Cacti, Munin или Ganglia), посмотрите на графики и найдите возможные временные рамки атаки.

Также всегда помните следующее:

отключите все службы, которые вам не нужны
регулярно делайте резервные копии всего, что вам нужно для восстановления сервера, и проверяйте резервные копии
следовать принципу наименьших привилегий
обновляйте свои службы, особенно обновления безопасности
не используйте учетные данные по умолчанию

Надеюсь это поможет!

Найти источник вредоносного ПО?

решение1

Связанный контент