hacker Albania lưu trữ wordpress

Với sự phát triển cơ sở hạ tầng và Nền tảng như một nhà cung cấp dịch vụ, nó không ngạc nhiên khi đa số các trang web hiện nay đang lưu trữ trong đám mây ngôn. Này là rất tốt vì nó cho phép các tổ chức, cá nhân cũng như nhanh chóng triển khai trang web của họ, với tương đối ít overhead trên cơ sở hạ tầng / hệ thống riêng của họ. Trong khi có rất nhiều thuộc tính tích cực liên quan đến lưu trữ trong đám mây, cũng có những hạn chế, đặc biệt là khi nói đến an ninh và những gì bạn làm chủ sở hữu trang web được phép làm (nó phụ thuộc vào máy chủ và những tính năng bạn đã kích hoạt, tìm hiểu thêm về cách host quản lý an ninh trang web của bạn).

hacker Albania wordpress lưu trữ quản lý an ninh trang web của bạn

Ví dụ, điều này do thỏa thuận hợp để chơi với duy trì và thu thập thông tin quan trọng ở dạng các bản ghi, bản ghi cụ thể, kiểm toán / an ninh.

Trong vài tháng qua, chúng tôi đã chia sẻ một số điều về cách các trang web bị tấn công và tác động của hacks nói. Năm ngoái, chúng tôi đã dành một số thời gian mổ xẻ như thế nào để làm sạch một hack WordPress sử dụng miễn phí WordPress plugin an ninh của chúng tôi. Hôm nay, tôi muốn đào một chút sâu hơn vào thế giới của Incident Response, cụ thể, pháp y - hoặc nghệ thuật tìm ra những gì đã xảy ra.

Theo kinh nghiệm của tôi, tôi có thể đếm trên một bàn tay số lượng trang web / các môi trường mà đã có kiểm toán hiệu quả tại chỗ cho các công cụ phòng ngừa khác nhau của họ như Tường lửa, hệ thống phát hiện xâm nhập (IDS), vv Trong nhiều trường hợp, các công cụ được cấu hình nhưng bản ghi hoặc là a.) không được thu thập hoặc b.) thu thập được, nhưng không được theo dõi hoặc phân tích. Bất kể, nó là một trạng thái buồn của công việc vì những tác động đến ứng phó sự cố là quá tuyệt vời.

May mắn thay, những gì chúng ta thường có thể dựa vào những bản ghi truy cập website. Chúng tôi sử dụng từ đếm rất lỏng lẻo, bởi vì trong thường nhất mà chúng ta có không quá 24 giờ, với một trường hợp kịch bản tốt nhất là 7 ngày. Một số sẽ nói điều này là tốt, tuy nhiên, đối với những gì chúng ta làm điều đó chỉ là ok và thường không đủ tốt để có được toàn bộ câu chuyện. Nó chắc chắn là một cái gì đó để bắt đầu làm việc với mặc dù. Nếu có một điều bạn nên biết về tôi, nó là tôi yêu các bản ghi; nó thực sự là lý do tại sao tôi bắt đầu dự án OSSEC nhiều năm trước đây và tại sao tôi khuyến khích mọi người sử dụng nó trong các mạng của họ như là một Host Intrusion Detection System (HIDS).

Logs Access và Forensics Website - Hiểu như thế nào trang web của bạn đã bị hack

Dưới đây, tôi sẽ cung cấp một hướng dẫn để hy vọng giúp bạn hiểu và đánh giá cao những tác động và tầm quan trọng của bản ghi truy cập của bạn và quan trọng hơn, làm thế nào để làm cho ý nghĩa của những gì bạn đang nhìn thấy.

Trước khi chúng ta thậm chí có thể bắt đầu, bạn phải tìm các bản ghi truy cập của bạn. Thật không may, điều này có thể khác nhau cho mỗi máy chủ, tuy nhiên, nó được coi là phần dễ dàng. Nếu bạn không chắc chắn nơi nó được lưu trữ, hãy liên hệ chủ nhà của bạn và họ sẽ có thể nhanh chóng xác định và chỉ cho bạn đi đúng hướng. Những câu hỏi quan trọng nhất để hỏi là:

hacker Albania wordpress lưu trữ vị trí riêng biệt để bạn có thể
  1. bạn đang thu thập các bản ghi truy cập cho giao thông trang web của tôi?
  2. Nếu không, có thể bạn?
  3. Bao lâu bạn thu thập các bản ghi cho?
  4. Tôi có quyền truy cập vào các bản ghi?
  5. Tôi có thể tìm những bản ghi?

Trong khi bạn đang ở đó, bạn có thể muốn đi trước và yêu cầu họ cho FTP / SFTP đăng nhập quá.

host chia sẻ có thể cực kỳ khó khăn. máy chủ cPanel dựa có các bản ghi bên trong

/ Thư mục truy cập-log trong thư mục nhà của bạn, tuy nhiên, một số nhà cung cấp hạn chế các bản ghi đến 24 giờ.

Nếu quý khách tham quan

/ Thư mục truy cập-nhật ký, bạn sẽ thấy việc tiếp cận-log và file lỗi đăng nhập. Nếu chỉ có một tập tin trong đó, bạn có khả năng ra khỏi may mắn là nhà cung cấp của bạn chỉ lưu trữ các bản ghi trong 1 ngày.

Nếu bạn thấy nhiều nén (gzip) file, điều này có nghĩa bạn có nhiều ngày của các bản ghi có sẵn.

Đây là những thường tốt hơn nhiều để làm việc với như là mặc định thiết lập Linux giữ các bản ghi cho lâu hơn một chút, tuy nhiên, không phải mọi máy chủ là như nhau. Nếu bạn điều hướng đến thư mục / var / log / httpd (hoặc / var / log / nginx hay / var / log / apache), bạn có thể tìm các bản ghi trong vòng ít nhất 7-10 ngày.

Đây sẽ là đủ dữ liệu để hy vọng có được một sự đánh giá tốt cho những gì đã xảy ra.

Bây giờ bạn có các bản ghi của bạn và đã tải về họ, đó là một tin tuyệt vời! Bây giờ chúng ta phải tìm ra ý nghĩa của chúng. Tôi khuyên bạn nên lưu chúng ở một vị trí riêng biệt để bạn có thể làm phân tích của bạn mà không làm phiền máy chủ của bạn, vì ngay cả các quản trị hệ thống có kinh nghiệm hơn có thể làm cho những sai lầm.

Bước tiếp theo là để hiểu làm thế nào các bản ghi của bạn trông. Hầu hết các máy chủ web, bao gồm Apache và Nginx lưu trữ các bản ghi của họ ở định dạng log chung, còn được gọi là định dạng NCSA Common Log. Nó được chia thành một vài phần:

Điều này sẽ cung cấp cho bạn hầu như tất cả các thông tin mà bạn cần biết về các yêu cầu đối với trang web của bạn bao gồm, ở đâu nó đến từ (IP_ADDRESS), thời gian và ngày, URL, kích thước, trình duyệt và làm thế nào máy chủ của bạn phản ứng (HTTP_RESPONSE_CODE).

Nó là một định dạng log rất chuẩn và khá dễ hiểu và tổng hợp.

Chúng ta hãy xem ví dụ sau xem xét:

Chúng ta có thể thấy rằng địa chỉ IP 66.249.75.219 từ Google truy cập URL “/” tại 9:00 vào buổi sáng 30 tháng 6 năm 2015. Các máy chủ trở lại một “200” (thành công), có nghĩa là trang tồn tại và không có lỗi được tạo ra trên yêu cầu.

Nếu bạn không quen thuộc với định dạng log này, tôi khuyên bạn nên dành một chút thời gian đọc giới thiệu tuyệt vời này để định dạng log khác nhau. Tôi cũng khuyên bạn nên nhìn vào các bản ghi của bạn thường xuyên hơn, vì chúng có thể cung cấp rất nhiều tầm nhìn đến những gì đang xảy ra với trang web của bạn.

Bạn tìm thấy các bản ghi của bạn và bạn hiểu những gì họ trông giống như, hoàn hảo!

Câu hỏi đặt ra bây giờ trở thành, làm thế nào để bạn thực hiện ý nghĩa của tất cả các dữ liệu? Điều này đặc biệt liên quan bởi vì, không giống như các ví dụ trên, nơi chúng tôi đã có một dòng nhật ký, nếu bạn mở tập tin đăng nhập của bạn, bạn đang có khả năng để tìm thấy hàng ngàn thậm chí hàng triệu yêu cầu trong một tập tin. Đây là đủ để can ngăn thậm chí dũng mãnh nhất các nhà phân tích pháp y. Do đó, chúng ta phải học làm thế nào để phân tích và phân tích dữ liệu để hút các thông tin chúng tôi yêu cầu một cách hành động.

Chúng ta phải tìm kiếm những gì quan trọng, loại bỏ tiếng ồn và cố gắng xác định các đối tác sẽ cung cấp cho chúng tôi một gợi ý với những gì đã xảy ra.

Vì tiếng ồn, chúng ta phải lọc ra tất cả những thứ mà không áp dụng. Bất kể những gì chúng tôi nghĩ rằng, hầu hết các trang web đều có một mẫu tương tự có thể giúp chúng tôi xây dựng một hồ sơ điều cần bỏ qua và những thứ để tập trung vào.

Ví dụ, yêu cầu phải “/”. hoặc phía trên cùng của trang. Mỗi du khách có khả năng để đạt điều đó, và giao thông nhiều hơn bạn có, bạn chỉ có thể tưởng tượng có bao nhiêu những dòng bạn sẽ tìm thấy trong các bản ghi của bạn. Vì vậy, chúng tôi muốn tước những thứ như thế, hoặc những thứ như CSS hoặc JS tập tin được nạp vào mọi yêu cầu. Đây là tất cả, chủ yếu là tiếng ồn và đủ dễ dàng để lọc. Nếu bạn là một người đam mê thiết bị đầu cuối, bạn có thể sử dụng lệnh như grep để xem các bản ghi của bạn bằng cách loại bỏ những mục không cần thiết:

Trong ví dụ trên, chúng ta bị tước tất cả .js. css. png. jpg và file .jpg loại hiển thị. Trên một trang web trung bình, nó sẽ cắt giảm số lượng của dòng để kiểm tra hơn 60%. Bạn cũng có thể tước thăm đơn giản để trang chính của bạn, cắt số dòng bằng hơn 80%:

Trong ví dụ này, tôi bỏ qua “/” yêu cầu, / liên lạc và các trang / signup. Tùy thuộc vào trang web, bạn sẽ phải chỉ là một vài trăm dòng nhật ký để đi qua, chắc chắn tốt hơn rất nhiều so với những gì bạn ban đầu bắt đầu với.

Nếu vì một lý do nào bạn vẫn có hàng ngàn yêu cầu, sau đó chúng tôi muốn bắt đầu thực hiện một số giả định và điều chỉnh bộ lọc của chúng tôi. Nó có thể là tốt hơn để lọc các yêu cầu của bạn để chắc chắn hoạt động mà bạn biết xứng đáng kiểm tra, bao gồm;

  1. yêu cầu POST.
  2. Các yêu cầu để trang quản trị.
  3. Các yêu cầu đến các địa điểm không chuẩn.

Điều đó có thể dễ dàng được thực hiện bằng cách thay đổi lệnh grep của chúng tôi ở trên để chỉ các yêu cầu chương trình để “wp-admin | wp-login | POST /”:

Mà thường cắt giảm số lượng các dòng bằng 1/200, làm cho dễ dàng hơn nhiều để phân tích. Nếu bạn biết địa chỉ IP của các quản trị viên của trang web, bạn có thể loại bỏ chúng là tốt (chúng tôi sử dụng 1.2.3.4 và 1.2.3.5 như ví dụ):

Trên chúng ta chia sẻ một vài bước để giúp bạn hiểu và phân tích thông qua dữ liệu của bạn. Tuy nhiên, làm thế nào để chúng ta áp dụng điều này và làm cho nó sâu sắc?

Chúng tôi muốn chia sẻ với bạn một bài tập gần đây chúng tôi đã đi qua với một trong những khách hàng của chúng tôi. Khách hàng là trên WordPress, họ đã bị xâm nhập và họ có cùng một câu hỏi tất cả mọi người có; Làm thế nào mà tôi bị tấn công? Sau đây có thể sẽ là kỹ thuật hơn một chút và sẽ đòi hỏi một số kiến ​​thức dòng lệnh, nhưng nó không phải là quá xấu cho nghiêng về mặt kỹ thuật. Đối với những người mà không phải là, không phải lo lắng, rằng tại sao bạn có chúng tôi.

Điều đầu tiên chúng tôi làm là tổng hợp tất cả các bản ghi vào một tập tin, cho sự tỉnh táo của chúng tôi:

Đây render 1.071.201 dòng bản ghi. như được hiển thị bởi wc; điều này có nghĩa chúng ta sẽ phải tận dụng các thủ thuật phân tích cú pháp trên để làm cho nó thông qua dữ liệu này bằng cách Giáng sinh.

Đầu tiên, chúng tôi đã tìm kiếm yêu cầu POST để wp-đăng nhập:

Chúng tôi loại bỏ địa chỉ IP của khách hàng của chúng tôi và kết quả thực sự chỉ là một dòng log từ 188.163.91.92 (một địa chỉ IP Ukranian).

Đương nhiên, nó có thể là một dương tính giả hoặc một nỗ lực brute force, nhưng nếu người dùng ghé thăm wp-admin sau khi wp-đăng nhập, nó có nghĩa là đăng nhập của ông đã thành công:

Chờ giây lát! Tôi nghĩ rằng chúng tôi tìm thấy một cái gì đó ở đây. IP mà từ Ukraine thực sự truy cập wp-admin sau khi đăng nhập và đi thẳng đến biên tập viên chủ đề. Đó là một lá cờ đỏ lớn đối với chúng tôi, và là một chỉ báo rõ ràng đáng chú ý đến, đặc biệt là chủ sở hữu trang web sống ở Mỹ và không có đóng góp từ xa. Chúng ta cần phải đào sâu hơn mặc dù. Bây giờ chúng ta có thể kết hợp grep của chúng tôi với lệnh cắt để xem một cách dễ dàng hơn tất cả các địa chỉ web mà IP truy cập:

trời ơi, bạn có thấy dòng thời gian của các sự kiện?

Kẻ tấn công đã đăng nhập vào các trang web thông qua wp-đăng nhập, đi đến biên tập viên chủ đề và sửa đổi các tập tin 404.php:

Sau đó, ông đến thăm các tập tin 404 trực tiếp:

Đó có thể là một backdoor PHP (đó là). Ông đã sử dụng tập tin đó để tạo ra một backdoor là-wp.php. mà bạn có thể nhìn thấy ông đến thăm sau là tốt. Một ví dụ về cách những kẻ tấn công không chỉ làm tổn hại đến môi trường, nhưng sau đó nhìn để giữ lại quyền truy cập và kiểm soát để đảm bảo rằng nếu bạn cập nhật kiểm soát truy cập của bạn họ vẫn có thể giữ lại quyền truy cập.

Với điều này, chúng tôi đã có đủ để nói với một mức độ cao của sự tự tin rằng tên người dùng và mật khẩu khách hàng đã bị tổn thương, cho những kẻ tấn công những gì cô ấy cần. Kẻ tấn công sau đó đã sử dụng biên tập viên Theme mình để sửa đổi các file, cho phép họ tiêm backdoors, đem lại cho họ toàn quyền kiểm soát ngay cả sau khi họ cập nhật thông tin của họ.

Có gì các bản ghi này không cho thấy tuy nhiên là làm thế nào họ có mật khẩu. Chúng tôi trở lại một vài ngày, và nhìn thấy những nỗ lực liên tục để truy cập môi trường nhưng thật khó để nói nếu đó là nguyên nhân hay không, hoặc nếu kẻ tấn công này chỉ là may mắn.

Đây hy vọng sẽ cung cấp cho bạn một rất nhỏ, đơn giản, xem trong thế giới của pháp y và những gì nó cần. Đây không nên nhầm lẫn với ghi công mặc dù, hoặc thế giới xác định WHO hack bạn. Đó là một quá trình khác nhau tất cả cùng nhau.

Trong khi chúng tôi sử dụng WordPress như một ví dụ ở trên, những điều tương tự có thể được áp dụng cho công nghệ trang web khác là tốt.

Daniel B. Cid là người sáng lập CTO của Sucuri và cũng là người sáng lập của dự án mã nguồn mở - OSSEC HIDS. Lợi ích của ông dao động từ phát hiện xâm nhập, phân tích (log-based phát hiện xâm nhập), nghiên cứu phần mềm độc hại dựa trên web và phát triển an toàn đăng nhập. Bạn có thể tìm thêm về Daniel trên dcid.me trang web của mình hoặc trên Twitter: @danielcid

Chúng tôi không còn hỗ trợ nhận xét trên blog của chúng tôi. Nếu bạn muốn tiếp tục cuộc trò chuyện, tham gia với chúng tôi qua Twitter tại @sucurisecurity và @sucurilabs. Nếu bạn có đề nghị hoặc câu hỏi mà đòi hỏi nhiều hơn 140 ký tự, xin vui lòng gửi email cho chúng tôi tại info@sucuri.net.

Sidebar chính

Xem video này!

Những bài viết liên quan

Web hosting australia wordpress websiteChọn một dịch vụ lưu trữ web có thể là một nhiệm vụ khó hiểu, với rất nhiều nhà cung cấp lưu trữ web trên mạng, cung cấp dịch vụ tương tự. Vì vậy, chúng tôi đã đưa ra quyết định này dễ dàng hơn bằng cách trưng bày 10 tốt nhất ...
Ipage lưu trữ và wordpressCập nhật lần cuối vào lúc: 01 Tháng 1 năm 2017 Nếu bạn đang tìm kiếm một máy chủ đáng tin cậy để có được trang web mới của bạn và chạy càng nhanh và càng rẻ càng tốt, đi với Siteground. Họ đang cung cấp giảm giá 60% ...
Wiki mag wordpress lưu trữ miễn phíChọn một dịch vụ lưu trữ web có thể là một nhiệm vụ khó hiểu, với rất nhiều nhà cung cấp lưu trữ web trên mạng, cung cấp dịch vụ tương tự. Vì vậy, chúng tôi đã đưa ra quyết định này dễ dàng hơn bằng cách trưng bày 10 tốt nhất ...
Amazon s3 wordpress lưu trữ webBạn có thể lưu trữ một trang web tĩnh trên Amazon S3. Trên một trang web tĩnh, trang web cá nhân bao gồm nội dung tĩnh. Họ cũng có thể chứa client-side script. Ngược lại, một trang web động dựa trên ...
Web hosting blog wordpress nzChọn một dịch vụ lưu trữ web có thể là một nhiệm vụ khó hiểu, với rất nhiều nhà cung cấp lưu trữ web trên mạng, cung cấp dịch vụ tương tự. Vì vậy, chúng tôi đã đưa ra quyết định này dễ dàng hơn bằng cách trưng bày 10 tốt nhất ...