Mi sitio web ha sido hackeado, ¿qué hago después? [cerrado]

Navega tus respuestas
2

Entonces. No pude ver ninguna otra pregunta como esta en la Sec.Se, así que pensé que lo haría.

Mi sitio web público www.foo.com ha sido hackeado. La página principal lo está enviando para ser redirigido a seoblog.fooblog.com para obtener rangos de páginas.

El atacante (basado en el idioma del blog (indonesio)) es presumiblemente en el extranjero. ¿Puedo localizarlos y procesar?

¿Qué debo hacer a continuación?

Necesito saber:

  • Cómo averiguar cómo entraron
  • Cómo encontrar el origen del ataque
  • Cómo tratar mis hallazgos
  • Cuándo involucrar a Law Enforcemnet
  • Cómo evitar que el ataque vuelva a suceder

Espero que puedas ayudar :)

    
pregunta NULLZ 09.02.2013 - 12:48
fuente

4 respuestas

6

Este es un foro para expertos en seguridad de TI que no son expertos legales en derecho internacional de TI, por lo que las preguntas sobre enjuiciamiento / aplicación de la ley son en su mayoría fuera de tema. Aunque primero endurecería su sistema y luego pensaría en intentar procesar; como rastrear quién era el usuario humano en el otro extremo no es una tarea trivial, especialmente si sucedió en el extranjero.

¿Puedes describir tu configuración? ¿Está en un servidor de Linux / servidor de Windows / host compartido / blog de wordpress?

Nos has dado muy poca información. Antes de averiguar cómo entraron, primero veamos qué está pasando.

¿Cómo se está reenviado ?

  • Javascript? (Por ejemplo, deshabilite javascript en su navegador, ¿sigue avanzando?)
  • ¿Etiqueta de actualización HTTP META o en un iframe? Use una utilidad como curl / wget para descargar una copia estática del html de su página web. ¿Está todo en un <iframe> gigante o hay una etiqueta como <META http-equiv="refresh" content="0;URL='http://random_other_site.com' /> ?
  • ¿Redireccionamiento HTTP 3xx? Utilice una utilidad para ver los encabezados HTTP. Por ejemplo, en google chrome: presione ctrl-shift-I para abrir las herramientas del desarrollador, vaya a la pestaña "Red" e intente visitar su página. Si el código de estado http es 302/304 (o algo más en los 300), han alterado el código de su servidor. ¿Puedes iniciar sesión en tu servidor?
  • ¿DNS apunta tu dominio a otro lugar? Ejecute dig www.foo.com - ¿apunta a su dirección IP? (Probablemente lograron cambiar sus registros DNS autoritativos: diríjase a su registrador para recuperar el control. Probablemente lograron obtener sus contraseñas en su registro de alguna manera).
  • ¿Intoxicación por ARP en su red local? (Intente visitar su sitio desde una red diferente). (Si este es el caso, simplemente bloquee sus enrutadores).
  • ¿Cambió su contenido a su contenido en su sitio web que recibe su servidor web? (Busque contraseñas débiles; vulnerabilidades donde usuarios no autorizados pueden cargar archivos).

En cuanto a cómo entran; Depende del tipo de ataque. Tal vez usted (o cualquier otro usuario con acceso) tenga una contraseña débil (y fue adivinada) o una que haya reutilizado en otro lugar o un mecanismo de restablecimiento de contraseña débil, o se autentique en su servidor sin usar SSL, o inició sesión una vez desde una máquina con un keylogger, y el atacante capturó su información de inicio de sesión. Posiblemente, su sitio era vulnerable, por ejemplo, las secuencias de comandos entre sitios que inyectaban javascript malicioso para redirigir su sitio. Tal vez su sitio esté configurado de manera débil, use herramientas que tienen vulnerabilidades conocidas de 0 días que permitieron a los atacantes cargar archivos al azar y cambiar el contenido.

    
respondido por el dr jimbob 09.02.2013 - 16:51
fuente
2
  

El atacante (basado en el idioma del blog (indonesio)) es presumiblemente en el extranjero. ¿Puedo localizarlos y procesarlos?

Yo diría que no; a menos que seas un multinacional (que puede gastar recursos más fácilmente en perseguir a personas en países extranjeros), esto seguramente no valdrá la pena. Pero esto no es un consejo legal, por lo que debe hacer su propia evaluación aquí. Las posibilidades de obtener una recompensa son muy pequeñas.

En términos de cómo ingresaron, usted va a tener dificultades a menos que ya haya invertido en IDS (Sistemas de detección de intrusos) de alguna naturaleza. La regla de oro aquí es que una vez comprometida, ya no puede confiar en la máquina . El atacante puede haber eliminado registros, haber cambiado las marcas de hora, etc. De manera similar, de dónde provino, su ISP puede ayudarlo (si está seguro de que son indonesios), solicite todo el tráfico hacia / desde Indonesia, suponiendo que no es un problema. país con el que sueles hacer negocios).

Puede mirar a través de los registros en el servidor, específicamente los registros de acceso HTTP: el vector de ataque más probable para un servidor HTTP orientado a la web será a través de un software web inseguro. Verifique las versiones de su software para detectar problemas de seguridad conocidos (Wordpress es bastante conocido por esto), verifique que sus contraseñas no sean simplistas.

El escenario más probable es que algún gusano automatizado, probablemente usando Google, descubrió que su sitio estaba ejecutando un poco de software con una jugosa vulnerabilidad y lo golpeó. Estoy especulando, pero sin más detalles, es probable que estemos donde estamos. Si estás en un host web público, y cualquiera de tus archivos o carpetas se pueden escribir en todo el mundo, podría ser cualquiera de los otros sitios alojados en tu servidor.

Suponiendo que encuentre algo; comuníquese con la policía local si cree que apunta a algún lugar, pero no contendría la respiración. Si está en el gobierno o en una gran empresa, debe tener un equipo, agencia o similar para informar, asegúrese de que haga hacer eso.

Lo importante aquí es que, ya que ya no puede confiar en la máquina (nuevamente en negrita, es importante), su mejor opción es comenzar de nuevo . Es duro, pero si tienen administradores locales, simplemente vas a ser golpeado de nuevo.

Una vez que haya sido comprometido, deja de ser una pregunta de seguridad. Eche un vistazo a enlace para otros consejos, pero comienza a convertirse en una pregunta de riesgo legal para su organización (¿Está costando que miles de personas bajen? ¿Vale la pena iniciar un servidor tal vez malo?).

Arme todo de nuevo, parche todo, restaure su última copia de seguridad de base de datos. Cuando arme el servidor, asegúrese de colocar una línea de base segura ( Procesos de certificación del servidor ) para que pueda ver los registros guardados en una máquina diferente, en la que aún puede confiar.

    
respondido por el Bob Watson 09.02.2013 - 22:28
fuente
1

"Necesita" saber cómo llegaron. Si está haciendo esta pregunta, parece que no se preparó, por lo que puede sentirse decepcionado con sus opciones. ¿Mantiene registros completos de calidad forense, almacenados por separado de la máquina pirateada? Si no es así, ¿has examinado los registros que tienes? Leer archivos de historial de shell? Leer registros es tu mejor apuesta aquí, gumshoe.

"Necesitas" saber de dónde vino el ataque. Este es el Internet, donde las máquinas se piratean para controlar redes de bots para enviar ataques a las redes de IRC que controlan las redes de bots. Si el atacante tiene algún deseo de permanecer en el anonimato y usted no es lo suficientemente grande como para que los gobiernos y las compañías de comunicaciones lo ayuden, todo lo que tiene que hacer es buscar pistas como un gumshoe. Eso puede funcionar, si tienes la afición de jugar al detective, pero no hay una respuesta mágica.

Dado que no es una empresa grande que acaba de perder millones de registros de clientes o unidades de dinero, la forma de "tratar sus hallazgos" y de preguntarse "cuándo involucrar a la policía" puede estar tomando las cosas demasiado en serio para la realidad. ¿Sabe cuántas personas internacionales tienen lugar en busca de personas que redireccionan la página de inicio de alguien? Cero. Trata tus hallazgos como pistas en tu propia guerra cibernética en miniatura. Toma nota. Llame al FBI cuando haya perdido más de $ 1M.

¿Cómo evitar que el ataque vuelva a ocurrir? Si puedes averiguar el vector de ataque, ciérralo. Si no puedes, contrata a un asesor de seguridad o reconstruye tu sistema con una tecnología completamente diferente y reza.

    
respondido por el ruief 10.02.2013 - 01:36
fuente
0

Daré mi metodología que uso para limpiar sitios pirateados.

Querrá encontrar los archivos modificados más recientemente a partir de la fecha en que notó el hackeo. Puedes usar find /dir/ -mtime para hacer esto. -mtime -1 proporcionará información de las últimas 24 horas; Revise todos esos archivos para el código malicioso.

Una vez que haya establecido una lista de archivos modificados que son maliciosos, querrá stat them para la modificación y el tiempo de creación. Luego, verificará sus registros de transferencia y registros de FTP alrededor de ese tiempo para encontrar la dirección IP y la forma de explotación de los atacantes. Si tienes suerte, verás cómo entraron ; por lo general, el atacante ha pirateado su sitio meses antes, lo que hace que usted no pueda verificar los registros de cómo y cuándo fue pirateado.

Algunas de las herramientas más comunes que utilizo para limpiar sitios pirateados: find , stat , grep -F .

Como se dijo anteriormente; No somos abogados sino expertos en seguridad informática. Si el atacante está en un país extranjero, no pierdas el tiempo. Si el atacante está en su país natal, entonces no pierda su tiempo; La razón es que es probable que hayan cubierto sus huellas y se hayan ido hace mucho tiempo. La cantidad de recursos invertidos en tratar de encontrar y castigar al pirata informático podría haber sido utilizada para proteger mejor su sitio .

    
respondido por el user1529891 11.02.2013 - 04:25
fuente

Lea otras preguntas en las etiquetas

Almacenar muchas contraseñas a las que los diferentes niveles de empleados necesitan acceso Protocolo fácil para la autenticación de correo electrónico