Supervisar solicitudes de servidor y direcciones IP

2

Tengo un Apache VPS de GoDaddy con Wordpress y el tema Enfold. Ambos están actualizados, no se han instalado complementos adicionales.

El servidor con frecuencia es hackeado y el código PHP malicioso se inyecta en la estructura del archivo. Esos archivos envían toneladas de correos electrónicos.

No sé dónde / cómo ingresan los atacantes al sitio web. Todas las contraseñas han sido cambiadas. Configuré la siguiente regla iptable

-A INPUT -p tcp -m tcp -m multiport ! --dports 20,21,80,443,1030,2083,2086,2087

para bloquear todos los puertos que no sean necesarios para el uso y desarrollo del sitio web. (1030 es SSH)

Además, el sitio web está utilizando la WAF de cloudflare ...

¿Hay alguna forma de escribir un script de bash que controle todas las conexiones entrantes al servidor, a qué puerto y archivo accedió y lo registra? Así que la próxima vez que se inyecten archivos, puedo seguir la solicitud en este momento y ver qué conexiones / IP / servicio se usaron.

Gracias por cualquier ayuda para resolver el problema. Lo ideal sería que no solo quisiera saber cómo bloquear los ataques, sino también cómo se llevan a cabo y qué vulnerabilidades están utilizando. Como el hackeo está enviando correos electrónicos solo, y no necesitamos nada por el momento, puedo deshabilitar fácilmente el servidor de correo electrónico. De esta manera puedo probar diferentes enfoques y observar el ataque más a menudo para comprender lo que realmente está sucediendo.

¡Gracias!

    
pregunta Tom 18.02.2017 - 00:10
fuente

2 respuestas

1

Sería mejor registrar las solicitudes de PHP. Por lo tanto, puede colocar algunas secuencias de comandos simples en la parte superior de su index.php para registrar todos los globales _GET y _POST. En base a eso, puede ver qué solicitud se envía con qué parámetros a su Wordpress, lo que provoca una violación.

Su tema solía tener vurnerabilities, ver enlace aquí , puede ser que todavía tenga algo que se explota en su sitio web. Desafortunadamente, es posible que se encuentre solo para rastrearlo a través de _GET y _POST y corregirlo devolviendo nulo si se pasan parámetros maliciosos.

    
respondido por el Aria 18.02.2017 - 13:19
fuente
1

Su servidor web probablemente ya registra las solicitudes. Si el servidor es hackeado, es posible que el atacante limpie estos registros.

Por lo tanto, debería automáticamente enviarlos a un servidor remoto (alojado solo con el puerto de registro remoto abierto, o puede usar uno de los servicios en la nube (papertrail, loggly, etc.))

Desafortunadamente, no obtendrá el cuerpo de las solicitudes POST , pero esto es algo que puede intenta configurar también.

    
respondido por el WoJ 18.02.2017 - 23:46
fuente

Lea otras preguntas en las etiquetas