¿Identificar un exploit en curso?

5

Recientemente, una persona me contactó y me dijo que había encontrado una vulnerabilidad en mi sitio. Pudieron probarlo, enviándome una lista de mis propias bases de datos (algunas de las cuales fueron creadas pero nunca utilizadas o referenciadas por nada), una lista completa del directorio de mi webroot (no es tan impresionante, pero sí incluye archivos ocultos ), así como el contenido de los archivos de configuración para MediaWiki y una muestra de una de las bases de datos. Parece que han podido eliminar una base de datos, así como ejecutar una actualización masiva en otra para introducir enlaces de spam en el Wiki.

Parece que los disgusté al decir que no uso Bitcoin y, por lo tanto, no puedo pagarles por ningún "informe" sobre cómo están haciendo esto, no es que realmente quiera hacerlo, por supuesto.

Realmente necesito ayuda para descubrir todo lo que pueda para detener este ataque antes de que se cause más daño. Me disculpo si este no es el lugar correcto para tales cosas, pero es lo primero que me vino a la mente. Cualquier consejo, desde detener el ataque hasta posiblemente voltear las mesas por completo, sería muy apreciado. Si necesita más información, por favor pregunte!

    
pregunta Niet the Dark Absol 26.12.2014 - 23:46
fuente

2 respuestas

9

No intentes cambiar las tablas.

Simplemente desconecte el sitio de Internet, tome copias forenses (si desea intentar averiguar exactamente qué sucedió, o pase a la policía) y luego borre y reconstruya desde cero.

Como las probabilidades de rastrear a los perpetradores son increíblemente escasas, sugeriría que no desperdicien su dinero. Simplemente limpie y reconstruya, y busque la instalación de su jardín antes de volver a conectarlo en línea. Esto debería incluir los últimos parches para la plataforma, el sistema operativo, las aplicaciones, etc., las opciones de configuración y la guía general de fortalecimiento.

    
respondido por el Rory Alsop 27.12.2014 - 00:21
fuente
3

Esto es imposible de responder por completo sin saber nada sobre el sitio o tener permiso para probarlo. Supongo que el sitio es "pokefarm.com"?

Aquí hay una descripción general de lo que haría si fuera tú.

Tienes algo de aprendizaje que hacer sobre la codificación segura y las herramientas de seguridad, y tratar de asegurar un sitio mientras está siendo atacado activamente será frustrantemente ineficaz. No sabes qué nivel de acceso tienen o nada.

Por lo tanto, ponga el sitio fuera de línea , compílelo y ejecútelo en un entorno de prueba / máquina virtual hasta que se arregle. Podría argumentar que es irresponsable dejarlo si está comprometido, ya que podría usarse para atacar a otros.

Busque en los registros del servidor web para ver cómo pudieron haber ingresado y de dónde podrían estar viniendo. En los registros, busque los errores de la base de datos, el archivo no encontrado y cualquier otro comportamiento misterioso. (La sugerencia de Rory Alsop de hacerse una copia forense completa es buena)

Para solucionar:

  1. Revise los OWASP Top Ten . Trate de encontrar ubicaciones en su código o configuración donde puede haber introducido algunas de las vulnerabilidades descritas ahí. Por ejemplo, lugares donde no pudo desinfectar adecuadamente parámetros proporcionados por el usuario. Arregla esas ubicaciones.

  2. Ejecute un escáner de seguridad de código abierto en su aplicación. ( ZED , W3AF , SQLMap ) SQLMap es bueno para las inyecciones de SQL. SQLMap le llevará mucho tiempo a menos que pueda reducirlo donde el / los error (s) es / son. W3AF podría ayudar a reducir las ubicaciones.

  3. Corrija los errores que encontró con el escáner.

  4. Instala mod_security para que tu apache bloquee los ataques web comunes.
  5. Volver a poner el sitio.

Mantenimiento continuo:

Mira los registros. Tenga una forma de recibir alertas cuando se acceda a ciertos directorios ocultos y / o tablas de bases de datos a través de la web. Registre otros eventos relacionados con la seguridad (cambios de roles, nuevos usuarios, inicios de sesión fallidos, inicios de sesión exitosos)

    
respondido por el mcgyver5 27.12.2014 - 00:40
fuente

Lea otras preguntas en las etiquetas