¿Cómo puedo averiguar cómo el malware infectó mi servidor y los sitios subsiguientes en el servidor?

Question

¿Cómo puedo averiguar cómo el malware infectó mi servidor y los sitios subsiguientes en el servidor?

#1 de CodeExpress (0 votos)
#2 de magian (0 votos)

2

Hace poco estuve a cargo de arreglar nuestro servidor en el trabajo y limpiar los sitios en él. Nos infectamos con algún malware que inyectó código en algunos de los sitios web de nuestros clientes. Aparentemente, también había alguna otra actividad en el servidor. Incluía:

Brute Force Hacking (puedo verificar esto con los registros de autenticación)
Intentos de malware de redirección. La gente comenzó a recibir advertencias de Norton y también recibí una advertencia de Firefox.

Después de eliminar por completo los sitios web y reinstalarlos, uno por uno, y agregarles complementos de seguridad, todo salió bien. He reforzado la seguridad en el servidor con fail2ban y otros parches y utilidades de seguridad. Todo parece haberse calmado y los ataques parecen haber desaparecido por completo o se han hecho irrelevantes.

No soy nuevo en Apache, Linux, PHP, MySQL y muchos otros temas relacionados con la web (SEO, Marketing, etc.), pero no sé por dónde empezar cuando se trata de seguridad. Quiero decir, ni siquiera sé cómo comenzó el problema de la inyección / XSS / malware. No sé quién lo comenzó, y por qué. Ni siquiera sé realmente si la amenaza y el problema están arreglados. ¿Dónde comienzo con esas preguntas?

Alguna información básica:

Los sitios funcionan con Wordpress (última versión) con complementos de seguridad.
Usando Apache2 con el servidor Ubuntu 11.10.
Configuración de LAMP con seguridad básica implementada

malware xss linux apache

pregunta willbeeler 16.02.2012 - 15:59

fuente

2 respuestas

0

De acuerdo con todo lo anterior. Una buena exploración de VA (Nessus, OpenVAS, etc.) está en orden de seguimiento mediante la consideración de un útil complemento de Wordpress.

Seguridad a prueba de balas WordPress sitio web de protección de seguridad. Protección de seguridad de sitios web contra: XSS, RFI, CRLF, CSRF, Base64, Inyección de código y piratería de inyección SQL ... enlace

Y luego siga la guía general de Wordpress Hardening: enlace

respondido por el magian 17.02.2012 - 07:54

fuente

Lea otras preguntas en las etiquetas malware xss linux apache

Uso de GPG o PGP para el cifrado / descifrado de bases de datos simétricas en c # Sembrando GPG keygen con un secreto de hash [duplicado]

score 0 · Accepted Answer

Bueno, veo muchas preguntas ahí! ¡Déjame llevarlos uno por uno!

Entonces hay dos vectores de ataque en tu caso. La aplicación web y el servidor web en sí.

Quiero decir, ni siquiera sé cómo comenzó el problema de inyección / XSS / malware. No sé quién lo inició y por qué.

Todos los problemas de inyección / XSS / malware / redirección son básicamente problemas con su aplicación web. El endurecimiento de su servidor mediante parches y software como failban no lo ayudará. Probablemente debería revisar su código web para asegurarse de que no es propenso a SQLi y XSS. Solo hay una solución: la validación !. Valide (y escape) toda la información que reciba de sus usuarios. Ya sea fecha, campos de formulario de solo lectura, campos ocultos, desplegables, botones de opción o cualquier otra cosa.

Para las redirecciones, debe verificar la fuente de sus páginas para ver el código que está causando la redirección. Luego puede grep su base de código para ver si esa pieza de código se adjunta a sus archivos php / html (que indica una interrupción del servidor a través de FTP / SSH) O si ese código se abrió camino en sus bases de datos MySQL (lo que indica una inyección de SQL en su aplicación web).

Recuerde que los ataques SQLi / XSS no requieren muchos intentos, por lo que failban es poco probable que prohíba esas IPs.

En cuanto a quién lo inició y cuándo, puede intentar buscar en los registros de acceso de apache para ver si puede encontrar algo interesante. Si se montó un ataque en su aplicación web y se usaron los parámetros de la cadena de consulta, los registros de acceso podrían haberlo registrado.

También mencionaste:

Brute Force Hacking (puedo verificar esto con los registros de autenticación)

Los intentos de fuerza bruta de SSH / FTP en cualquier servidor de sitio público no son infrecuentes. Los puertos SSH son constantemente bombardeados con ataques basados en diccionarios. Sugeriría tener autenticación basada en clave y desactivar la autenticación de contraseña por completo. Si eso no es posible, deberías tener contraseñas bastante seguras que no se pueden forzar con fuerza bruta .