阿尔巴尼亚黑客WordPress的托管

随着基础设施和平台即服务提供商的扩散,这是毫不奇怪,大多数当今的网站承载在众所周知的云。这是伟大的,因为它允许企业和个人都能够快速部署自己的网站,对自己的基础设施/系统相对小的开销。虽然有与云托管相关的这么多积极的属性,也有局限性,特别是当它涉及到安全和您启用了你的网站的所有者被允许这样做(这取决于在主机上有什么特点,了解更多如何主机管理网站的安全)。

阿尔巴尼亚黑客WordPress的托管管理网站的安全

例如,这是以在日志中,具体地讲,审计/安全日志的形式保留和重要信息的收集发挥。

在过去的几个月里,我们有共同的网站上是如何被砍死了一些文章,说黑客的影响。去年,我们花了一些时间解剖如何使用我们的免费WordPress的安全插件清理WordPress的黑客攻击。今天,我想远一点挖成事件响应的世界,特别是,取证 - 或本领域搞清楚发生了什么事。

根据我的经验,我可以指望一方面是有有效的审计到位,如防火墙,入侵检测系统(IDS),等他们的各种预防工具,在许多情况下网站/环境的数量,工具配置,但是日志要么a。)中没有收集或b。)收集,但是不被监视或分析。无论如何,这是事情的可悲状态,因为影响到事件响应太大。

幸运的是,我们经常可以指望的网站访问日志。我们使用的字数非常松散,因为在大多数时候,我们都没有超过24小时,7天一个最好的情况下的场景。有人会说这是件好事,但是,对于我们做什么,只有确定,往往不够好,得到完整的故事。这是肯定的东西下手,虽然工作。如果有一件事你应该了解我,那就是我喜欢记录;它实际上是为什么我很多年前就开始了OSSEC项目,为什么我鼓励大家运用在他们的网络,主机入侵检测系统(HIDS)。

网站访问日志和取证 - 了解您的网站被黑客入侵如何

下面,我将提供一个指南,希望能帮助你理解和欣赏您的访问日志的影响和重要性,更重要的是,如何让你所看到的感觉。

之前,我们甚至可以开始,你必须要找到你的访问日志。不幸的是,这可以为每台主机不同,但是,它应该是比较容易的部分。如果你不确定它的存储位置,请联系您的主机和他们应该能够快速识别并指向您在正确的方向。要问的最重要的问题是:

阿尔巴尼亚黑客WordPress的主机单独的位置,这样就可以
  1. 你收集了我的网站流量的访问日志?
  2. 如果没有,你能吗?
  3. 多久你收集的日志?
  4. 难道我有机会获得这些日志?
  5. 在哪里可以找到这些日志?

当你在这,你可能想继续前进,请他们为您的FTP / SFTP登录过。

共享主机可以是极其困难的。基于服务器的cPanel有内部的日志

在你的主文件夹/存取日志目录,然而,一些提供商限制原木24小时。

如果您访问

/存取日志的目录,你应该看到的访问日志和错误日志文件。如果只有一个在那里的文件,你很可能出于运气为你的供应商只存储日志1天。

如果您看到多个压缩(gzip的)文件,这意味着你有可用的日志的天。

这些通常是更好的工作与作为默认的Linux设置保留日志的时间长一点,但是,并不是每个主机是相同的。如果您导航到/ var /日志/的httpd(或/ var /日志/ nginx的或/ var /日志/阿帕奇),还可以找到日志至少7-10天。

这将是足够的数据,希望能够得到发生了什么好好欣赏。

现在,你有你的日志,并下载他们,这是个好消息!现在,我们必须弄清楚他们的意思。我建议他们保存在一个单独的位置,这样你可以做你的分析,而不会干扰你的服务器,因为即使是有经验的系统管理员可以犯错误。

下一步是要了解你的日志怎么看。大多数的web服务器,包括Apache和Nginx的存储他们在公共日志格式的日志,也被称为NCSA公用日志格式。它分为几个部分:

这会给你几乎所有你需要知道的关于请求到您的网站包括,凡从(IP地址)附带的信息,时间和日期,URL,大小,浏览器和服务器如何回应(HTTP_RESPONSE_CODE)。

这是一个非常标准的日志格式,并很容易理解和综合。

让我们来看看下面的例子考虑:

我们可以看到,从谷歌的IP地址66.249.75.219访问URL“/”早上6月30日上午9时,2015年服务器返回一个“200”(成功),这意味着存在的页面,并在未产生错误请求。

如果你不熟悉这个日志格式,我建议花一些时间阅读本伟大的介绍各种日志格式。我还建议在你的日志更经常看,因为它们可以提供大量的能见度什么是与您的网站发生。

你找到你的日志,你了解他们的样子,完美!

现在的问题是,你如何让所有数据有意义吗?这是特别是有关,因为不同于上述在那里我们有一个日志行的例子,如果你打开你的日志文件,你很可能会发现数千甚至上百万在一个文件的请求。这足以阻止甚至最强大的法医分析师。因此,我们要学会如何分析并以虹吸我们可操作的方式所需要的信息进行数据分析。

我们要搜索什么事情,去除噪声,并尝试寻找合作伙伴,这将给予我们一个暗示发生了什么。

因为噪音,我们要过滤掉所有不适用的东西。不管是什么,我们认为,几乎每个网站都有类似的模式,可以帮助我们建立的东西,忽略事物的轮廓重点关注。

例如,请求为“/”。或页面的顶部。每一位游客有可能打的,而更多的流量,你有你能想象有多少你会在你的日志中找到这些线。因此,我们要剥离之类的东西,或之类的东西被加载在每次请求的CSS或JS文件。这是所有的,大多是噪声,很容易过滤。如果你是一个怪胎终端,你可以使用如grep命令通过删除这些不必要的记录,看看你的日志:

在上面的例子中,我们去除了所有的.js。 CSS。 PNG。 JPG和.jpg文件类型无法显示。平均来说现场,将削减的行数超过60%检查。您也可以去除简单的访问您的主要网页,超过80%的切割线的数量:

在这个例子中,我忽略了“/”要求,/接触和/注册页面。根据你的网站,你将有只有几百日志线穿过去,比你最初开始确实好了很多。

如果由于某种原因,你仍然有成千上万的请求,那么我们要开始做一些假设和调整我们的过滤器。这可能是更好的筛选要求,你知道应该检查,包括某些活动;

  1. POST请求。
  2. 请求管理页面。
  3. 要求到非标准位置。

这可以很容易地通过修改上面只显示请求“|可湿性粉剂登录|可湿性粉剂管理员POST /”我们的grep命令来完成:

这一般由1/200次切割线的数量,使得很多更容易分析。如果您知道网站的管理员的IP地址,你可以删除它们,以及(我们使用1.2.3.4 1.2.3.5和为例):

上面我们分享了一些步骤,以帮助您了解,并通过数据分析。然而,我们如何运用这一点,并使其有见地?

我们希望与大家分享最近的练习中,我们经历了与我们的客户之一。客户是WordPress的,他们被泄露,他们有同样的问题,每个人都有;我是怎么破解?下面将可能要多一点技术,将需要一些命令行的知识,但它不应该对倾向于技术太差。对于那些不,没有后顾之忧,那为什么你有我们。

我们做的第一件事就是聚集所有日志到一个文件中,我们的理智:

这种渲染1071201行日志。如由WC显示;这意味着我们将不得不利用上面的分析技巧,通过这个数据在圣诞节做出来。

首先,我们找了POST请求WP-登录:

我们删除我们的客户端IP地址,结果实际上只是一个从188.163.91.92(一个乌克兰IP地址)日志行。

当然,也有可能是假阳性或蛮力尝试,但如果用户访问了WP-登录后可湿性粉剂管理员,这意味着他的登录成功:

等一下!我想我们找到了这里。来自乌克兰的那个IP实际访问可湿性粉剂管理员登录后直奔主题编辑器。这是一个很大的红旗对我们来说,是一个明显的指标值得关注,尤其是在网站的所有者住在美国,没有远程贡献者。我们需要但越挖越深。现在,我们可以用剪切命令混合我们的grep在一个更简单的方式,所有的URL是IP访问看到:

我的天啊,你看到事件的时间表?

登录到通过WP登录网站的攻击者,去了主题编辑和修改404.php文件:

在那之后,他就直接访问了404文件:

这很可能是一个PHP后门程序(它是)。他使用的文件创建另一个后门是-wp.php。你可以看到他后来参观了为好。如何攻击者不仅破坏了环境,但再看看保留访问和控制,以确保如果你更新你的访问控制,他们仍然能够继续访问另一个例子。

有了这个,我们有足够高置信度的客户用户名和密码被泄露说,给她所需要的攻击者。然后,攻击者利用自己的主题编辑器来修改文件,让他们注入后门,让他们即使他们更新了自己凭证的完全控制。

什么这些日志并没有显示然而他们是如何得到的密码。我们又回到了几天,看到不断企图访问环境,但它很难说,如果这是原因或者没有,或者如果攻击者只是幸运。

这样应该可以让你在取证和它需要什么样的世界一个非常小的,简单的,视图。这不应该与归属虽然迷茫,或识别的世界WHO砍死你。这是一个不同的过程都在一起。

虽然我们使用WordPress作为一个例子上面,同样的事情可以适用于其他网站的技术也是如此。

丹尼尔·B·西德是方正 Sucuri的CTO,也是开源项目的创始人 - OSSEC HIDS。他兴趣广泛,从入侵检测,日志分析(基于日志的入侵检测),基于Web的恶意软件研究和安全开发。你可以找到更多关于丹尼尔在他的网站dcid.me或在Twitter上:@danielcid

我们不再支持我们的博客评论。如果您想继续交谈,通过Twitter从事与我们在@sucurisecurity和@sucurilabs。如果您有建议或需要超过140个字符的问题,请发送电子邮件至info@sucuri.net。

主要侧边栏

看这个视频!

相关文章

Web托管澳大利亚WordPress的网站选择一个Web托管服务可以是一个令人困惑的任务,有这么多的网站托管服务提供商那里,提供类似的服务。因此,我们已经做出了这个决定更容易展示了10个最好的...
的iPage主机和WordPress更新日期:2017年1月1日,如果你正在寻找一个可靠的主机,让您的新网站启动和运行的速度和尽可能便宜的,去与SiteGround。他们提供60%的折扣...
维基MAG免费WordPress托管选择一个Web托管服务可以是一个令人困惑的任务,有这么多的网站托管服务提供商那里,提供类似的服务。因此,我们已经做出了这个决定更容易展示了10个最好的...
Amazon S3的Web托管WordPress的您可以托管在Amazon S3的静态网站。在静态网站,个人网页,包括静态内容。它们也可以包含客户端脚本。相比之下,动态网站依赖于...
Web托管NZ WordPress的博客选择一个Web托管服务可以是一个令人困惑的任务,有这么多的网站托管服务提供商那里,提供类似的服务。因此,我们已经做出了这个决定更容易展示了10个最好的...