mis sitios web se infectaron con un malware que no puedo obtener información sobre [cerrado]

Navega tus respuestas
-1

tenemos un servidor, en el que alojamos unos 30 sitios. Estos son sitios de prueba para nuestros clientes. la mayoría de ellos ni siquiera están indexados por google.

algunos se ejecutan en php, otros en nodejs, algunos en ruby. Todos los que se ejecutan en PHP han sido infectados.

el 27 y 28 de mayo en muchos directorios (no solo los de raíz) donde se crearon:

consumer.php images / config.db

el consumer.php intenta conectarse a 176.123.2.3.

ahora solo puedo eliminarlos y el problema se solucionará temporalmente.

pero ¿cómo puedo averiguar el punto de entrada? ¿Supongo que usaron un error en PHP (ya que solo los sitios PHP se infectaron)?

gracias.

    
pregunta memical 03.06.2013 - 22:16
fuente

2 respuestas

2

Sus registros pueden ayudarlo a determinar cuándo, qué y dónde. Si está utilizando Apache y una versión de Unix (BSD / Linux / etc), comenzaría con lo siguiente: 

tail -n 100000 /path/to/apache/logs/access_log | awk '/27\/May\/2013/'|grep 404 > 05-27-2013-404s.txt

tail -n 100000 /path/to/apache/logs/access_log | awk '/27\/May\/2013/'|grep 403 > 05-27-2013-403s.txt

Esto analiza las últimas 100,000 entradas en el registro de acceso, analiza el 27 de mayo, luego los 404 y 403. Siempre que 1) esté utilizando Apache 2) su formato de registro almacena las fechas como "27 / May / 2013".

A partir de ahí, también analizaría los directorios desde el propio registro. Es ALTAMENTE PROBABLE que la primera entrada que llegue a ese directorio sea la parte responsable de comprometer su máquina. Luego, puede tomar la IP asociada con esa primera entrada, y regresar y mirar sus registros para encontrar cuándo fue la primera vez que aparecieron, a qué accedieron, etc.

    
respondido por el munkeyoto 03.06.2013 - 22:30
fuente
0

Parece que es probable que no tenga un aislamiento adecuado entre sus entornos. Si todos sus scripts PHP se ejecutan como el mismo usuario, entonces un compromiso en cualquiera de ellos permitiría el acceso a cualquier parte del sistema en el que el usuario PHP ejecuta, ya que tiene acceso.

La mejor opción sería formatear y reconstruir su servidor, aunque si los permisos del usuario de PHP son limitados para evitar el acceso de los administradores, es posible que simplemente borre todo lo que el usuario tuvo acceso para modificar. También debe asegurarse de pasar a una configuración aislada para que sea más fácil identificar la fuente de las intrusiones.

    
respondido por el AJ Henderson 03.06.2013 - 22:29
fuente

Lea otras preguntas en las etiquetas

Protección contra el complemento de datos de sabotaje Secure Portable Mail Client [cerrado]