Найти источник вредоносного ПО?

Question

Найти источник вредоносного ПО?

У меня есть сервер, на котором работала более старая версия lighttpd (1.4.19 на машине freebsd 6.2-RELEASE (да, старая)), и Google предупредил меня, что обнаружил вредоносное ПО, встроенное в одну из страниц моего сервера. Так уж случилось, что это наша индексная страница. Я быстро удалил вредоносную программу и начал просматривать журналы сервера, чтобы узнать, как они туда попали. Не обнаружив ни одного из журналов редактируемых файлов, я заметил, что владелец страницы индекса был изменен на www, который является пользователем lighttpd. Затем я пришел к выводу, что для этой версии программного обеспечения должна существовать какая-то разновидность veunerability и быстро обновлена до 1.4.26.

Теперь вредоносная программа вернулась. Я начал довольно многословную регистрацию на сервере с помощью ftp, lighttpd и всех попыток входа в систему, чтобы попытаться увидеть, как работает этот скрипт. Есть ли у них какие-либо предложения относительно других подходов?

2

security freebsd lighttpd malware forensics

Источник

jps 08 июн '10 в 00:02

1 ответ

Решение

Другие вопросы по тегам security freebsd lighttpd malware forensics

Marco Ramos 08 июн '10 в 01:32 2010-06-08 01:32 · Accepted Answer · 2010-06-08 01:32

Ваш веб-сайт был взломан / поврежден, и когда это происходит, обычно очень сложно заново создать все шаги злоумышленников, и наилучшим решением является переустановка скомпрометированных серверов. С другой стороны, вам необходимо выполнить некоторые судебные экспертизы, чтобы выяснить, что, возможно, произошло, и предотвратить его повторение.

Вот список вещей, которые стоит проверить:

посмотрите, есть ли известные уязвимости в вашем веб-сервере и версиях вашего FTP-сервера
взгляните на все файлы журналов, которые вы можете, особенно на веб-сервер, FTP-сервер и системные файлы. В лог-файлах веб-сервера проверьте сообщения
Есть ли какие-либо службы, которые вам не нужны? Доступны ли они из Интернета? Закройте их сейчас, проверьте их журналы и проверьте возможные известные уязвимости.
запустить руткит-шашки. Они не являются непогрешимыми, но могут привести вас в правильном направлении. chkrootkit и особенно rkhunter - инструменты для работы
Запустите Nmap вне вашего сервера и проверьте, есть ли что-то прослушивающее на любом порте, который не должен быть.
Если у вас есть приложение для отслеживания rrdtool (например, Cacti, Munin или Ganglia), посмотрите графики и найдите возможные временные рамки атаки.

Кроме того, всегда имейте это в виду:

закрыть все услуги, которые вам не нужны
сделайте резервную копию всего, что вам нужно, чтобы восстановить свой сервер и регулярно проверять резервные копии
следовать принципу наименьших привилегий
обновите свои услуги, особенно в отношении обновлений безопасности
не используйте учетные данные по умолчанию

Надеюсь это поможет!