el ataque de malware en mi sitio web puede haber iniciado un servidor SOCKS. Por favor, avise [duplicado]

3

Un sitio web en el que hago trabajo voluntario fue recientemente uno de los afectados por una vulnerabilidad del complemento de wordpress.

Siguiendo los consejos en la respuesta a esta pregunta , que contiene detalles del ataque, espero que alguien me pueda aconsejar sobre cómo proteger mi sitio web, ya que me es desconocido si el script Publiqué acerca de que allí logré correr solo antes de que lo matara.

En particular, cualquier información sobre cómo proceder para determinar si hay o no un servidor SOCKS activo en el sitio web sería apreciada (y cómo eliminarlo, si existe). Soy bastante nuevo en el aspecto detrás de las escenas de los sitios web, como puede ser capaz de decir. Si necesita alguna otra información, por ejemplo, las herramientas proporcionadas por mi anfitrión, hágamelo saber.

EDITAR: no es lo mismo que las preguntas marcadas como similares, ya que son preguntas generales sobre cómo proteger un servidor. Si bien seguiré el consejo de esas preguntas, aquí me interesa específicamente cómo encontrar una matanza de la manifestación específica del malware en mi servidor: un servidor SOCKS.

    
pregunta KBriggs 06.01.2015 - 00:29
fuente

1 respuesta

1

IPTables!

Es lo primero que se me ocurre.

Con mucho gusto, esto le permitirá bloquear todo el tráfico saliente / entrante que no desee. Entonces, primero puede configurar SSH para que esté abierto en un puerto no estándar (configuración del servidor ssh) y, por supuesto, abrir el puerto 80 (y 443 si es SSL), para su entrada.

Y solo abra el puerto 80 y 443. Ahora, si bien esto no mitiga completamente el riesgo, es un poco más improbable que el malware vaya tras los puertos web para enrutar su proxy a través.

Ya que estamos hablando de WordPress. Siempre asegúrate de tener todo al día. Bloquee los accesos de escritura (ug WP autoupdate, ¿quién pensó que era una buena idea de anulación ?!).

.htaccess / blank index.html para bloquear las carpetas de complementos que el autor ha pasado por alto.

Mirando la publicación que has vinculado, debería ayudar a mitigar el ataque en cuestión.

Edición 1: por supuesto, siempre es importante auditar regularmente su (s) caja (s) para ejecutar procesos / abrir puertos de red.

    
respondido por el Barry Carlyon 06.01.2015 - 09:53
fuente

Lea otras preguntas en las etiquetas