Mi máquina local fue infectada con malware de un servidor web de clientes

Navega tus respuestas
3

Tengo un cliente para el que desarrollé un sitio nuevo, aún no está activo porque él quería que primero hiciera una copia de seguridad del sitio antiguo. Este fue un sitio de tipo "directorio" completamente personalizado y la compañía que lo construyó (en 2003) creo que construye cada módulo desde cero.

Naturalmente, comienzo a mirar la gran cantidad de carpetas ubicadas en el servidor y lo que hay dentro de esas carpetas. Noté que había algunos archivos PHP de caracteres aleatorios, y también archivos de caracteres aleatorios con la última parte del nombre del archivo "php.jpg" y eso me pareció extraño.

Al examinar los archivos PHP, fue muy fácil averiguar qué tipo de archivo adjunto era cuando el creador de la herramienta dejó su firma en la parte superior e inferior de los archivos.

Los archivos de formato de imagen son lo que me pareció interesante. Supongo que se colocaron allí a prueba de fallos, por lo que si alguien notara los archivos PHP infectados, este atacante podría restaurar el acceso cambiando el nombre de "imagen". archivos de formato.

Aquí es donde me volví estúpido, o solo quería asegurarme de que estos archivos de imágenes pudieran ser legítimos y debían ser respaldados por el cliente. Gran error. Abrí un archivo y Windows 10 Security Center lo marcó instantáneamente como una infección.

Aquí está el registro de eventos me proporcionó respecto a la amenaza.

Como se trataba de una cuenta de alojamiento compartido, sin acceso a Shell, no pude instalar ninguna herramienta de seguridad basada en Linux (clamav, rkhunter, etc.).

¿Qué habrías hecho en esta situación? ¿Realice una copia de seguridad de todo el sitio y deje las infecciones en los archivos de copia de seguridad, o revise y limpie los hacks?

    
pregunta Chris Quinn 02.03.2018 - 13:11
fuente

1 respuesta

4

Con mi sombrero de desarrollador en:

  • Si el nuevo sitio es "todo nuevo", incluido el sistema operativo, no habría investigado el sitio pirateado. Lo habría considerado como un "evento pasado".

  • Si el nuevo sitio estuviera en el servidor existente, sin cambios, después de ver la evidencia del hack, habría reconstruido el servidor desde cero y no me hubiera molestado en comprender los detalles del hack.

  • Si el nuevo sitio se construye sobre el sitio existente, me gustaría saber la naturaleza del hack para determinar cómo proceder.

Con mi sombrero de InfoSec en:

  • Me gustaría investigar el truco para ver qué tan lejos llegó y cuánta información confidencial pudo haber sido expuesta y qué amenaza existe para el cliente. Pero esa amenaza está informada por los datos y el impacto que tendría si este servidor fuera pirateado.

Respuesta corta: investiga para comprender el alcance de la amenaza y el impacto. Si el alcance no importa, entonces no hay necesidad de investigar (el pan mohoso es solo un problema si esperaba comerlo, no si está en el contenedor de compost). Pero me imagino que hay cosas que aprender acerca de las amenazas para su cliente, y yo las investigaría.

En cuanto a la "limpieza de los hacks", no estoy seguro del valor de hacerlo, pero eso depende de lo que espere hacer con el archivo de copia de seguridad. Yo haría una copia de seguridad del sitio y lo etiquetaría como si tuviera archivos maliciosos. Si espera entrar en los archivos de copia de seguridad con regularidad, es posible que elimine los archivos obviamente infectados.

    
respondido por el schroeder 02.03.2018 - 13:37
fuente

Lea otras preguntas en las etiquetas

Buena forma de proteger muchas claves privadas ¿Contra qué protege la directiva CSP-sri-for?