ISP nos ha informado que nuestro servidor está lanzando ataques de fuerza bruta en los sitios de WordPress, ¿cómo terminamos esto? [duplicar]

1

Situación miscelánea:

: el hacker obtiene el inicio de sesión del servidor, el hacker coloca el archivo malicioso de fuerza bruta en / hacked / bruteforce /

Luego, se cambia la contraseña del servidor, el pirata informático aún puede ejecutar el script navegando a su archivo en el servidor que se ejecutará cuando lo soliciten (¿supongo?)

Pregunta:

¿Sería una combinación de cambiar la contraseña de inicio de sesión del servidor y agregar un archivo .htaccess protegido por contraseña para / detener al pirata informático en sus pistas? ¿O se puede evitar un .htaccess en términos de volver a ejecutar el script del pirata informático?

Soy muy nuevo en la seguridad del servidor, ¡pero estoy ansioso por aprender cualquier cosa y todo lo que cualquiera pueda decirme! Aprecio altamente cualquier y todos los consejos. ¡Cualquier recurso de conocimiento recomendado también se utilizaría completamente!

NUESTRA SITUACIÓN:

Aquí está la información que nos proporcionó nuestro anfitrión.

su servidor / cliente con la IP: * ha atacado a uno de nuestros servidores / socios. Los atacantes usaron el método / servicio: bruteforcelogin en: Sat, 14 Noviembre de 2015 (hora exacta aquí) . La hora indicada es desde la hora del servidor del usuario de la Lista Bloqueada que Presentado el informe. El ataque se informó al sistema Blocklist.de el: dom, 15 de noviembre 2015 -el tiempo exacto proporcionado aquí-

Aquí hay algo más:

Líneas que contienen IP-ip aquí: NO CLASIFICADO (de muchas máquinas diferentes)! IP DE DESTINO: -ip información aquí-

DESTINATION-IPs: -ip información aquí-

-ip aquí- - - [14 / Nov / 2015: -exacto de tiempo proporcionado aquí-] "POST wp-login.php HTTP / 1.1 "200 4366" referer-domain.tld "" Mozilla / 5.0 (Windows NT 6.1; WOW64; rv: 40.0) Gecko / 20100101 Firefox / 40.0 "

-ip aquí- - - [14 / Nov / 2015: -exacto de tiempo proporcionado aquí-] "POST /wp-login.php .... truncado .... 0 "POST wp-login.php HTTP / 1.1" 200 4366 "referer-domain.tld" "Mozilla / 5.0 (Windows NT 6.1; WOW64; rv: 40.0) Gecko / 20100101 Firefox / 40.0 "

-ip aquí- - - [14 / Nov / 2015: -exacto de tiempo proporcionado aquí-] "POST wp-login.php HTTP / 1.1 "200 5117" referer-domain.tld "" Mozilla / 5.0 (Windows NT 6.1; WOW64; rv: 40.0) Gecko / 20100101 Firefox / 40.0 "

Saludos, Jay.

    
pregunta Jay 20.11.2015 - 08:12
fuente

1 respuesta

1

Es muy probable que cambiar la contraseña del servidor o .htaccess no haga nada ahora, ya que el pirata informático ya tuvo acceso e instaló software malicioso en el sistema. En un sistema Linux, al principio verificaría (como root) qué sockets están abiertos y qué procesos los están utilizando:
netstat -anp | menos
netstat -anp enumera todos los sockets con el proceso de propiedad y los coloca en "menos" para permitir el desplazamiento a través de la lista. Si el servidor es un servidor dedicado, puede capturar el tráfico utilizando la utilidad tcpdump y analizarlo, por ejemplo, con wireshark. Los VPS a menudo no permiten el olfateo. Sin embargo, si el pirata informático era inteligente y ha cubierto sus huellas, es posible que el sistema no muestre los sockets utilizados por el programa malicioso. En este caso, se necesita un control de seguridad detallado de todo el sistema.

    
respondido por el mark_orion 20.11.2015 - 13:41
fuente

Lea otras preguntas en las etiquetas