Necesita ayuda para diagnosticar un sitio web pirateado

3

A pesar de todo mi trabajo para fortalecer mi sitio web, alguien ha logrado piratearlo.

Al cargar la página de inicio en IE8, la página parece cargarse normalmente. Luego, la barra de estado muestra brevemente una solicitud a un dominio que es solo un montón de letras seguidas de .com. Abre una ventana del Reproductor de Windows Media, y cuando se abre, la pantalla de IE se pone roja con una advertencia "este sitio ha sido reportado como inseguro".

En Chrome, el sitio se carga normalmente, y recibo una advertencia de que el complemento de Java necesita mi permiso para ejecutarse. No le di permiso.

En Firefox, todo parece normal, pero en mi menú NoScript hay un elemento con la etiqueta " enlace ", que, por supuesto, he bloqueado.

La buena noticia es que pude capturar una película de la pantalla del problema en IE y pude observar el dominio de malware para la investigación.

Cuando noté el problema por primera vez, inicié Wireshark y he iniciado sesión en mi PC desde entonces. Esto me proporcionó múltiples solicitudes de DNS con nombres de dominio vinculados al ataque. También he descargado los registros del servidor. Nuestro sitio completo se ha trasladado a un directorio de espera y se ha colocado un mensaje 'no disponible' en la raíz de nuestro dominio. He cambiado nuestra contraseña de inicio de sesión del servidor.

Descargué una copia de nuestra página de inicio del servidor y la analicé. El dominio malicioso no se encuentra en ninguna parte. Utilizo algunas bibliotecas de JavaScript externas, como jQuery, que se cargan desde servidores remotos. Me pregunto si algo podría haber sucedido en uno de esos servidores?

Ahora no estoy muy seguro de qué hacer a continuación. Soy un creador, no un experto en seguridad. Mi puesto actual no tiene un departamento de seguridad de la información o de TI para obtener asistencia, por lo que estoy buscando ayuda de cualquier persona que pueda reconocer los síntomas de este ataque.

ACTUALIZACIÓN: encontré archivos maliciosos en mi servidor idénticos a los descritos en enlace

Actualización del 26 de octubre: después de revisar los archivos de registro, encontré que el truco se realizó a través de FTP. Evidentemente, mi nombre de usuario fue robado de alguna manera.

    
pregunta Paul S. 08.10.2011 - 00:13
fuente

1 respuesta

8

Pasos para tomar en un ataque como este:

  • En este caso particular, es importante dejar de servir el sitio, por lo que sería apropiado instalar un servidor de seguridad, ya sea en un dispositivo de puerta de enlace o desconectando el dispositivo.
  • A continuación, deberías crear una imagen de todo lo que puedas. Algunos datos solo se pueden obtener en vivo desde la máquina. Encontré una guía enfocada en Windows para usted del CERT.
  • A partir de ahí, debe tomar medidas para identificar cómo fue comprometido y evitar que vuelva a suceder.
  • Cuando haya descubierto los pasos necesarios para asegurar la máquina, use una nueva imagen.

Los síntomas de este ataque son que algo ha logrado alterar los datos que proporciona su sitio web. Pueden estar limitados solo a los archivos que el sitio ofrece o pueden haber comprometido todo el sistema.

Tendrá que dedicar su tiempo a comparar los datos correctos con los datos dañados. Hashear todos los archivos entre los directorios es una forma práctica de comenzar.

Más allá de eso, creo que tienes mucho tiempo y aprendizaje por delante, o un experto en seguridad forense / malware / seguridad general subcontratado que te espera como cliente.

    
respondido por el Jeff Ferland 08.10.2011 - 02:04
fuente

Lea otras preguntas en las etiquetas