웹 사이트가 손상되었습니다. 어떻게해야합니까?


10

아파치 원시 액세스 로그가있는 경우 회사 웹 사이트가 손상되어 언제, 무엇이 잘못되었는지 분석 할 수있는 방법이 있습니까?

수천 줄의 로그 중에서 무엇을 찾아야합니까?

도와 주셔서 감사합니다

답변:


4

Daisetsu대답은 올바른 줄에 있습니다.
그러나 풀 타임 내보내기를 사용하지 않고도 일부 분석을 수행 할 수 있습니다.
나는 당신이 할 수있는 일의 요점을 줄 짧은 기사에 몇 가지 링크를 추가하고 있습니다.

  1. WebAppSec의 웹 보안 인터뷰 질문
  2. DigitalOffencive에서 웹 서버 로그를 사용하여 손상된 웹 서버 찾기
  3. 무엇을 웹 사이트 오손 후해야 할 일 ?

제안 :이 질문을 ServerFault로 옮기면 수행 할 수있는 작업에 대한보다 직접적인 답변을 얻을 수 있습니다.


링크와 제안에 감사드립니다. 어떻게 이것을 ServerFault로 옮길 수 있습니까? Serverfault가이 질문에 가장 적합한 곳인 것 같습니다
SteD

@SteD, 거기에 게시 할 수 있습니다. 그러나 이제 두 번째 게시물을 작성하지 마십시오. :-)이미 이동 중이므로 총 5 표가 필요합니다. 나는 내 안에 추가했다-다른 사람들이 도울 것이다.
Nik

4

시스템이 손상 / 훼손된 경우 모든 것이 청소되었는지 확실하지 않으며 IMHO 최상의 솔루션은 항상 다시 설치하는 것이지만 어떤 일이 있었는지 이해하고 다시 발생하지 않도록 법의학을 수행해야합니다.

확인해야 할 중요한 사항은 다음과 같습니다.

  • 가능한 모든 로그 파일, 특히 웹 서버 및 시스템 로그 파일을 살펴보십시오. 웹 서버 로그 파일에서 게시물을 확인하십시오.
  • 루트킷 검사기를 실행하십시오. 그들은 불가피하지만 올바른 방향으로 당신을 이끌 수 있습니다. chkrootkit 및 특히 rkhunter는 작업을위한 도구입니다.
  • 서버 외부에서 nmap을 실행하고 포트에서 수신 대기 중이 아닌 무언가가 있는지 확인하십시오.
  • Cacti, Munin 또는 Ganglia와 같은 rrdtool 트렌드 응용 프로그램을 사용하는 경우 그래픽을 살펴보고 atack의 가능한 시간 범위를 검색하십시오.
  • 웹 서버의 버전을 확인하고 알려진 보안 문제가 있는지 확인하십시오.

또한 항상 염두에 두십시오.

  • 필요없는 서비스를 종료하십시오
  • 정기적으로 백업 테스트
  • 최소 특권 원칙을 따르십시오
  • 특히 보안 업데이트에 관한 서비스 업데이트
  • 기본 자격 증명을 사용하지 마십시오

도움이 되었기를 바랍니다.


1
+1 된 경우 "새"컨텐츠의 사본을 저장하고 백업에서 모든 것을 복원하십시오. ( 좋은 백업유지 해야하는 또 하나의 이유 ).
Chris S

1

예, 네트워크 포렌식이라고합니다. 기본적으로 공격의 원점과 대상을 찾기 위해 네트워크 및 서버 로그를 조사하고 있습니다. 이를 위해서는 보통 법의학 전문가가 필요하지만, 무슨 일이 있었는지 알게 되더라도 최악의 경우 공격자를 고소하거나 범죄 행위를 저지르는 것입니다. 웹 손상은 실제로 큰 범죄로 간주되지 않습니다. 공격의 결과로 회사가 돈을 잃어 버리지 않는 한입니다. 심각한 경우 해당 기관에 연락하면 증거 수집에 도움을 줄 것입니다. 사이버 범죄에 연락 할 사람의 목록은 다음과 같습니다. http://www.justice.gov/criminal/cybercrime/reporting.htm 또한 법률 자문으로 간주되지 않습니다.


3
Apache 로그를 분석하기 위해 법의학 전문가가 필요한 이유는 무엇입니까? 리눅스와 아파치에 대한 실무 지식은 자격이 충분해야합니다.
MDMarra

1
나는 법적인 관점에서 말하고있었습니다. 비공식적 인 검토를 원하면 it 녀석 앞에 로그를 넣으십시오.

@Daisetu-OP는 공격자에 대한 법적 영향에 대해 아무 말도하지 않았습니다. 그는 무엇이 잘못되었는지 알아 내기 위해 무엇을 찾아야하는지 구체적으로 물었습니다.
MDMarra
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.