Вопросы Теги

Наш VPS используется как Warez mule [дубликат]

На этот вопрос уже есть ответ здесь:

Компания, в которой я работаю, управляет серией интернет-магазинов на VPS . Это стек WAMP, хранилище 50 ГБ.

Мы используем устаревшее программное обеспечение для электронной коммерции, которое почти полностью работает на стороне клиента. Когда заказ принят, он записывает его на диск, а затем мы планируем задачу по загрузке заказов каждые 10 минут.

Несколько дней назад у нас закончилось место на диске, из-за чего не удавалось записывать приказы. Я быстро перешел к удалению некоторых старых журналов с почтового сервера и довольно быстро освободил пару ГБ, но мне стало интересно, как мы могли бы заполнить 50 ГБ не более чем журналами.

Оказывается, нет. Глубоко в каталоге c: \ System Volume Information у нас есть стопка пиратских видео, которые, похоже, появлялись (если посмотреть на временные метки) за последние три недели. Порно, американский спорт, австралийские кулинарные шоу. Очень странная коллекция.Это не похоже на личные вкусы человека - скорее похоже, что VPS используется в качестве мула.

У нас есть 5 попыток, и вы заблокированы политикой на нашем FTP-сервере (плюс, нет учетной записи FTP с доступом к этому каталогу), а пароль учетной записи пользователя Windows недавно был изменен. Основные проспекты опломбированы - и журналы могут это подтвердить. Я подумал, что посмотрю и посмотрю, случится ли это снова, и да, сегодня утром появилось еще одно кулинарное шоу.

Я единственный, кто знает об этой проблеме в моей компании, и только один из двух имеет доступ к VPS (второй - мой начальник, но нет - это не он).

Так как же это происходит?

Есть ли уязвимость в некотором программном обеспечении на VPS? Не распространяют ли владельцы VPS варез на нашем арендованном пространстве? (они могут это сделать?)

Я не хочу удалять варез, если он будет рассматриваться как враждебное действие против этой внешней силы, и они решат нанести ответный удар.

Что мне делать? Как мне решить эту проблему? Такое случалось с кем-нибудь раньше?

5
задан 28 April 2010 в 12:36
2 ответа

не контролируя код (Вы используете пользовательское программное обеспечение хранилища?), Вы не можете знать, существует ли ошибка, это используется (и даже если Вы не нашли ничего, что не означает, что это не там). Вы используете пользовательский код SQL, например? С проверкой исправности и очисткой входа?

Я предполагаю, что все Ваши системы полностью актуальны? Вредоносные проверки? Актуальный антивирус?

После того как кто-то взламывает систему, у них мог быть rootkitted она. Неважно, как Вы вставляете изменения пароля или изменения, если что-то в системе было изменено для предоставления закулисного доступа, Вы не собираетесь не пускать его. К тому же это могло регистрировать Ваши изменения пароля и нажатия клавиш, таким образом, Вы просто подаете больше паролей взломщику.

Можно вставить аудит для наблюдения, куда соединения прибывают из, но я сомневаюсь, что это поможет heckuva партии.

В конце необходимо рассмотреть очистку и переустановить с нуля. Это - единственный способ, которым можно доверять установке снова и знать, что это чисто из троянского кода, так как заражение может замаскировать себя, после того как это сознает ситуацию.

Более страшный при взятии кредитных карт эта информация могла бы становиться сильно ударенной, и Вы будете ответственны за то, что сильно ударили клиентские идентификационные данные. Если Вы находитесь в США, это имеет разветвления, где необходимо уведомить покупателей возможного хищения личных данных.

Если это - сервер, который обрабатывает что-либо включающее деньги, Вы, возможно, должны были бы полагать, что вызов в подрядчиках контролирует систему. Возьмите изображения системы для судебного использования и вытрите и переустановите. Чем дольше Вы ожидаете, тем больше ответственности Вы открываете себя для.

Чтобы ответить, как это происходит, если сервер является выделенным сервером, он мог бы взламывать что-то в Вашей витрине (Внедрение SQL, например) уязвимость в Windows, не исправленном что-нибудь веб-обзор с той системой? "Диск" загрузчиками с веб-сайта. Запущенное программное обеспечение на нем это не от системы? Возможно, был заражен чем-то. Слабые пароли. Контролируйте их когда-нибудь? И существует возможность, что Вы не будете легко знать, как они сделали это. Мои ставки находятся на программном обеспечении для электронной торговли, особенно если это - ниша, поскольку для разработчиков легко не убрать вход от URL и открыть его для инжекционных нападений. Или если это использует PHP, открытый для внешнего интерфейса; Вы действительно совершенствуете это? Вы не упоминаете, использует ли это что-то как php интерфейс администрирования, но неаккуратное кодирование php может добавить легкий вектор атаки также.

Если Вы в общей сумме убытков того, как бороться с этим, серьезно, нанять помощь извне. Никакой позор в получении справки и эмпирического правила не то, что, после того как Вы взламываетесь, Вы не МОЖЕТЕ быть уверены, что это фиксируется, и если данные о клиентах текут в той системе, Вы открываете себя для ответственности и вредите невинным клиентам. Плюс то, если та система не отгорожена перегородкой от других систем в сети, она могла бы попытаться прервать данные другой системы.

4
ответ дан 3 December 2019 в 01:34
  • 1
    +1 для совета выйти на улицу. Отметьте сторону ответственности здесь - Ваш босс лучше getrs вовлеченный адвокат, он может быть в для БОЛЬШОГО КОЛИЧЕСТВА боли, если это не обрабатывается книгами, законами и Вашими контрактами, например, с компаниями по выпуску кредитных карт. Преступник / пренебрежение Gross CAN ожидать. Совет выбраться наружу справка в основном составляет 100% на ходу. А также " forenxig copy" совет. –  TomTom 28 April 2010 в 13:01
  • 2
    Нет никаких транзакций CC, сделанных на VPS. Если бы я диагностировал это на выделенном сервере, то я использовал бы инструменты от sysinternals, такие как procmon и rootkitrevealer. I' d имеют procmon, настроенный для контроля действия к каталогу для определения местоположения незаконного процесса. Но увы, те инструменты не работают над виртуальным сервером. Продуктом электронной коммерции не является ниша. Нет никакого бэкенда DB. Существует очень мало продолжения во фронтэнде. Apache актуален, обновления окон организованы поставщиком VPS. –  Mikuso 28 April 2010 в 13:48
  • 3
    Это doesn' t походят на VPS мне, больше как общий хостинг или сервер, которым управляют. В любом случае, если you' ре, не управляющее ОС затем, необходимо говорить с теми, кто. –  Javier 28 April 2010 в 18:12

Прежде всего я думаю, что Вы найдете, что существует по крайней мере три человека с доступом к VPS, не просто два, о которых Вы знаете. Я полагаю, что система была взломана и принята. Я также подозреваю, что это теперь размещает файлы для сети P2P, наиболее вероятных потоков. У Вас мог быть поиск *.torrent файлы, но они, вероятно, скрыты от Вашего представления так или иначе.

Вы больше не контролируете систему. Они просто оставили Вас с той иллюзией. Разве они не были так небрежны, чтобы израсходовать все это дисковое пространство, для которого они могут иметь далеко с ним намного дольше. Кстати, даже элементарная система контроля должна была предупредить Вас к уменьшению дискового пространства.

В этой точке необходимо послушать совет Bart и собрать данные судебной экспертизы в форме системного снимка. Затем вытрите его полностью и переустановите с нуля. Ваши резервные копии в этой точке, вероятно, бесполезны, поскольку у Вас нет реального способа знать, когда взламывание произошло.

Необходимо посмотреть на то, что может быть сделано для лучше обеспечения недавно восстановленной системы. В этом отношении я рассмотрел бы восстановление его на новом хосте и продолжил бы использовать существующий, пока это не готово, затем сделайте сокращение-.

2
ответ дан 3 December 2019 в 01:34
  • 1
    Так it' s не стоящий попытки диагностировать слабое пятно? Я don' t как идея простой переустановки на новый сервер, поскольку дыра может все еще существовать - и затем когда DNS переключается на новый IP, он просто будет поставлен под угрозу точно таким же образом. Нет никакого знака действия потока. Никакие массовые соединения на странных портах. Файлы все, кажется, были созданы в течение секунд друг после друга - значение, что они были загружены и извлечены на сервере или загружены очень очень быстро. Нечетное поведение. Не подобный потоку по своей природе. –  Mikuso 28 April 2010 в 13:42
  • 2
    После того как Вы взяли свое судебное изображение машины, можно сделать копию того изображения и поместить его на полностью изолированную машину в полностью изолированной сети. Здесь можно диагностировать к heart' s содержание, но don' t независимо от того, что Вы действительно повторно подключаете то изображение к Интернету или Вашей внутренней сети, или когда-либо доверяете любой машине that' s в той же сети как он или любых перезаписываемых медиа (т.е. карта с интерфейсом USB) that' s бывший присоединенный это. –  GAThrawn 28 April 2010 в 14:01
  • 3
    @Mikuso, it' s, конечно, стоящий поиска и устранения неисправностей слабое пятно, но не на производственной машине. GAThrawn имеет верное представление. I' d идут немного далее и настраивают изолированную сеть, возможно, с помощью виртуальных машин. Причина состоит в том, что можно видеть вещи от другой машины в той же сети, которые не сразу видимы на поставленном под угрозу. Наблюдайте сетевой трафик для наблюдения what' s быть отосланным незапрашиваемого для начинающих (использующий Wireshark или подобный). –  John Gardeniers 28 April 2010 в 15:09

Теги

Похожие вопросы