Sitio listado como pirateado por un grupo de hacking

Navega tus respuestas
4

Estaba buscando en Google uno de mis dominios (alojado en un alojamiento compartido) y encontré una página web en la que figuraba como Sitio pirateado, la lista que pertenecía a un determinado grupo nacional de piratería (el país al que dicen pertenecer es notorio para muchos problemas, pero el país, como tal, no tiene acuerdos para piratear el Mundo).

Solo la página de índice raíz es pública, mientras que el resto de los datos están protegidos por autenticación HTTP. Además, cada página (además del registro de cPanel) también tiene su propio script de registro de visitas que registra los datos de las visitas al DB y ninguno de los dos mecanismos de registro muestran una actividad inusual durante los últimos meses. Además, ninguno de mis archivos parece haber sido afectado o alterado.

Al momento de escribir, he bloqueado todo el acceso a la mayoría de las carpetas / datos por completo y he cambiado las contraseñas y el nombre de usuario por una vez que no está bloqueado. Nosotros usamos el dominio principalmente para pruebas y experimentación.

  • ¿Es esto posiblemente una afirmación falsa? (Hay muy poco para sugerir una intrusión que pase por los registros y el estado de los archivos, db, etc.)
  • ¿Cómo puedo diagnosticar mejor la situación?
  • Dado que está en la lista de hackers, ¿debo abandonar el dominio y / o el host?
pregunta check123 28.12.2011 - 10:06
fuente

2 respuestas

4

Muy fácilmente podría ser una afirmación falsa, y parece que ha hecho lo correcto con respecto a la verificación de registros, bases de datos, etc., y puede realizar un análisis forense en profundidad (usted mismo o contratar a una de las muchas compañías que lo hacen). esto) pero si tiene alguna duda, debería planear lo peor: un rootkit.

Si tienes un rootkit bien oculto, la única opción es borrar completamente la máquina y comenzar de nuevo desde fuentes buenas conocidas.

Su punto sobre la lista de un hacker depende de lo que están diciendo. Si es puramente una lista de estos sitios, no pensaría nada una vez que la hayas asegurado.

    
respondido por el Rory Alsop 28.12.2011 - 10:37
fuente
2

  1. Sí, puede ser una reclamación falsa

  2. "protegido por autenticación HTTP": no es una gran seguridad. Incluso cuando es exclusivamente sobre SSL, ¿verdad?

  3. "además del registro por el cPanel" - ¡erk!

  4. "Además, ninguno de mis archivos parece haber sido afectado o alterado". ¿Cómo comprobó esto? ¿Has comprobado todos los archivos en el servidor?

Mucho depende de qué acceso tengas al sistema. Si este es un servidor compartido, entonces es muy posible que no tenga visibilidad de un compromiso en su host virtual. También significa que estaría muy limitado en lo que podría implementar en el servidor. Incluso si se trata de un servidor dedicado, la reclamación puede estar relacionada con un problema de envenenamiento de DNS que no tiene impacto en el estado del servidor ni en su acceso.

¿Cómo verifica que no haya archivos adicionales implementados en el servidor (a diferencia de las modificaciones de sus archivos)?

Si tiene motivos para preocuparse, límpielo y vuelva a desplegarlo. Si no tiene la facilidad para hacer esto, entonces no va a sobrevivir a un ataque real, así que prepárese. También eche un vistazo a la implementación de un IDS basado en host, como tripwire o lids.

    
respondido por el symcbean 28.12.2011 - 12:24
fuente

Lea otras preguntas en las etiquetas

¿Están los certificados de seguridad digital SSL basados en el protocolo de seguridad de red Kerberos? Diseño de firewall para grandes empresas