Как проанализировать журналы после того, как сайт был взломан
Вы будете изо всех сил пытаться удалить каждый остаток X-оконной системы.
Например, графические пакеты имеют тенденцию поддерживать X пиксельных карт, таким образом, Вы заканчиваете с libXpm, libX11 и различные другие библиотеки X11.
На моих бездисплейных машинах, который означает, я все еще имею X, для материала как ImageMagick, gtk2, ghostscript, Каир, и т.д.
Как и HopelessNOOb, я бы порекомендовал получить профессиональную помощь с этим.
Когда вы знаете, что система была взломана, вы не можете полагаться на какие-либо данные хранится на нем. Кроме того, если компрометация произошла через HTTP, то, вероятно, в стандартных журналах недостаточно информации, чтобы можно было изолировать, что произошло. Вот почему люди, серьезно относящиеся к безопасности веб-серверов, будут использовать что-то вроде mod_security для получения более подробных журналов и запускать IDS на основе хоста для обнаружения компромиссов.
Специалист службы поддержки хостинг-провайдера (после анализа журналов) сказал, что это было дыра в безопасности в нашем коде
. Если он / она может сделать это утверждение, то он / она должны уже знать ответ на ваш вопрос - либо это, либо утверждение не обосновано, и они действительно хотят сказать, что не могли » Я не обнаружил в их материалах ничего плохого.
Ваша цель должна состоять в том, чтобы вернуть ваш сайт в оперативный режим и обеспечить безопасность. Чтобы сделать сайт безопасным, вам нужно закрыть все дыры, но для компрометации сайта вам нужно найти только одну дыру: вы знаете, что на вашем сайте есть хотя бы одна дыра, но вам нужно исправить любые которые существуют - а это значит, что вам нужно использовать совершенно другой подход к безопасности вашего сайта. Даже если вы можете идентифицировать и исправить уязвимость, которая была использована на этот раз, данные показывают, что у вас нет процессов и навыков, чтобы иметь хоть какую-то уверенность в том, что это был единичный инцидент.
вы знаете, что на вашем сайте есть хотя бы одна дыра, но вам нужно исправить все , которые существуют - это означает, что вам нужно использовать совершенно другой подход к безопасности вашего сайта. Даже если вы можете идентифицировать и исправить уязвимость, которая была использована на этот раз, данные показывают, что у вас нет процессов и навыков, чтобы иметь хоть какую-то уверенность в том, что это был единичный инцидент. вы знаете, что у вас есть хотя бы одна дыра на вашем сайте, но вам нужно исправить все , которые существуют - это означает, что вам нужно использовать совершенно другой подход к безопасности вашего сайта. Даже если вы можете идентифицировать и исправить уязвимость, которая была использована на этот раз, данные показывают, что у вас нет процессов и навыков, чтобы иметь хоть какую-то уверенность в том, что это был единичный инцидент.Я нашел решение после https://stackoverflow.com/questions/3817478/setting-up-git-server-on-windows-with-git-http-backend- exe и https://stackoverflow.com/questions/8021167/git-debian-apache-and-smart-http , который должен был добавить
SetEnv REMOTE_USER=$REDIRECT_REMOTE_USER
в мою конфигурацию apache и использовать $ REMOTE_USER в моем скрипте, который действительно содержит аутентифицированное имя пользователя. Мне действительно интересно, как должен работать образец в руководстве.
2 и 3) Первое, что вам нужно сделать, это выяснить, что является нормальным для вашего собственного сайта. Один из способов сделать это - использовать стандартный инструмент анализа, такой как awstat, который ежедневно просматривает ваши журналы. Теперь ваша основная проблема заключается в том, что вы не знаете, что является нормальным для вашего сайта, поэтому у вас нет возможности узнать, что является ненормальным.
4) Есть способы предотвратить некоторые атаки, хотя, конечно, это гонка вооружений. Но просто удалив наиболее распространенные эксплойты, вы значительно снизите вероятность того, что будет целью случайной атаки. Вы должны убедиться, что в вашей установке установлены последние исправления безопасности для вашей ОС, для apache и для php. Вам также следует взглянуть на mod_security , который позволяет вам регистрировать подозрительную активность и, например, требовать, чтобы клиент отправлял заголовки, такие как User-Agent, чего не делают многие инструменты взлома.
Также , Я бы посоветовал вам рассмотреть возможность отправки ваших журналов, особенно журналов ошибок и любых журналов mod_security, на другой сервер, если это возможно, чтобы даже если кому-то удастся попасть на ваш сервер, он не сможет редактировать файлы журналов, чтобы скрыть их следы.
Вы получили хороший ответ от JennyD, но я бы предложил другой подход.
Нанять эксперта.
Есть эксперты по безопасности, которые действительно этим зарабатывают на жизнь и будут гораздо лучше и быстрее определите, как вас взломали и где вы все еще уязвимы. Посетите местный рынок безопасности, и я буду удивлен, если вы не сможете найти достойную цену на консультационные услуги по анализу журналов для вас, а также выполнить хотя бы базовое сканирование проникновения и уязвимостей в вашей системе (системах). ). Вы получите гораздо более полное представление о том, что вам нужно сделать, чтобы обезопасить себя, и сможете вернуться к тому, чтобы проводить время в пределах своей области знаний.
В дополнение к приведенному здесь руководству, эти темы подробно обсуждаются на обмене стеками безопасности. Прочтите вопрос об усилении защиты Apache: https://security.stackexchange.com/questions/77/485
Вы можете попробовать LORG - https://github.com/jensvoid/lorg - инструмент PHP-CLI (GPL), разработанный для криминалистической экспертизы после атак. из Apache access_logs. Он использует несколько методов (на основе сигнатур, статистических данных, на основе обучения) для обнаружения атак на веб-приложения в файлах журналов HTTPD.
Он пытается сгруппировать эти подозрительные действия в сеансы и применяет методы обнаружения роботов (обычно злоумышленник может запустить автоматическое сканирование, а затем вернуться позже, чтобы вручную проверить, что он нашел). Кроме того, он использует геокартирование и DNSBL-поиск, чтобы узнать, исходят ли атаки из определенной страны или ботнета.
После этого вы можете выбрать различные механизмы, чтобы определить, была ли атака успешной: активные повторы и сопоставление сигнатур,
1) Какие инструменты мне следует использовать для просмотра журналов доступа и ошибок Apache? (Дистрибутив нашего сервера - Debian).
Посмотрите man-страницу syslog и некоторые инструменты по ссылкам ниже.
2) Можете ли вы написать советы по обнаружению подозрительных строк в логах? Может быть учебники или праймеры некоторых полезных регэкспрессов или методик?
Это немного сложнее и было бы огромной темой, но для начала я бы посмотрел на то, что инструменты, описанные выше, делают для анализа логов и что они ищут. Ссылка ниже должна указать вам общее направление для начала обучения.
3) Как отделить "нормальное поведение пользователя" от подозрительного в логах.
Практика, практика, практика. Также хорошо изучите набор инструментов и поймите, что происходит "под капотом"
4) Есть ли способ предотвратить атаки в Apache?
Нет. Мир, в котором мы живем, хаотичен и управляем. До тех пор, пока люди будут постоянно хотеть новых возможностей за меньшие деньги, будут вырезаться углы и переполняться буферы. С учётом этого, программное обеспечение Apache само по себе, вероятно, достаточно безопасно (с высоким уровнем аудита), но вы находитесь во власти тех библиотек, которые вы выберете для использования, и разрешений, которые вы можете случайно или неосознанно установить.
Наконец, если у вас есть деньги и вы используете свой сайт для чего-то нетривиального или полагаетесь на доход, полученный от сайта, лучший курс - это нанять эксперта, как упоминалось в других комментариях.
Кроме того: я очень разочарован большинством ответов, которые указывают на то, что ОП - это наем эксперта. Несмотря на то, что это может быть разумным советом, чтобы предисловить ответ, он не отвечает ни на один из тщательно проработанных вопросов ОП.