Vas*_*rov 5 security linux hacking logging apache-2.2
我们的一个网络项目被黑了。Malefactor 更改了项目中的一些模板文件和 web 框架的 1 个核心文件(它是著名的 php 框架之一)。我们通过 git 找到了所有损坏的文件并恢复了它们。所以现在我需要找到弱点。
我们很可能会说,这不是 ftp 或 ssh 密码劫持。主机提供商的支持专家(经过日志分析)说这是我们代码中的安全漏洞。
我的问题:
1) 我应该使用什么工具来查看 Apache 的访问和错误日志?(我们的服务器发行版是 Debian)。
2)能否在日志中写下可疑行检测的提示?也许是一些有用的正则表达式或技术的教程或入门?
3) 如何区分日志中的“正常用户行为”和可疑行为。
4) 有什么方法可以防止 Apache 中的攻击吗?
谢谢你的帮助。
像 HopelessNOOb 一样,我建议在这方面获得一些专业帮助。
当您知道系统已被入侵时,您就不能依赖存储在其中的任何数据。此外,如果妥协是通过 HTTP 进行的,那么标准日志中可能没有足够的信息来隔离所发生的事情。这就是为什么认真对待网络服务器安全的人会使用 mod_security 之类的东西来获取更详细的日志,并运行基于主机的 IDS 来检测入侵。
托管商的支持专家(经过日志分析)说这是我们代码中的安全漏洞
如果他/她可以做出这样的声明,那么他/她必须已经知道您的问题的答案——要么是那个,要么是声明没有得到证实,他们的意思是说他们找不到他们的东西有任何问题。
您的目标应该是让您的网站重新上线并保持安全。为了使站点安全,您需要堵住每个漏洞 - 但要破坏站点,您只需要找到一个漏洞:您知道您的站点中至少有一个漏洞,但您需要修复任何存在的漏洞- 这意味着您需要采取一种非常不同的方法来保护您的站点安全。即使你们可以识别和修复这次被利用的漏洞,证据表明你们没有适当的流程和技能来确信这是一个孤立的事件。
1) 您可以查看一些软件的这些链接来帮助您,尽管我自己并没有使用其中的大部分。但鉴于您已获得更改文件的时间戳,请首先查看这些日期和时间的日志文件。Grep 用于更改文件之一的文件名;这应该给你罪犯的IP地址,然后你就可以开始搜索了。
2 和 3) 您需要做的第一件事是找出您自己网站的正常情况。一种方法是使用标准分析工具(例如 awstat)每天检查您的日志。您现在的主要问题似乎是您不知道网站的正常情况,因此您无法知道什么是异常情况。
4) 有一些方法可以防止某些攻击,尽管这当然是一场军备竞赛。但是,只需删除最常见的漏洞利用,您就不太可能成为随机攻击的目标。您应该确保您的安装具有适用于您的操作系统、apache 和 php 的最新安全补丁。您还应该查看mod_security,它允许您记录可疑活动并例如要求客户端发送诸如 User-Agent 之类的标头,而许多破解工具都没有。
另外,如果可能的话,我建议您考虑将您的日志,尤其是错误日志和任何 mod_security 日志发送到另一台服务器,这样即使有人设法进入您的服务器,他们也无法将日志文件编辑为隐藏他们的踪迹。
您从 JennyD 那里得到了很好的答案,但我建议采用不同的方法。
聘请专家。
有一些安全专家实际上以此为生,并且会做得更好、更快,以确定您是如何被黑客入侵的以及您在哪里仍然容易受到攻击。查看当地的安全市场,如果您找不到合适的咨询服务价格来为您分析日志,以及至少在您的系统上运行基本的渗透和漏洞扫描,我会感到惊讶)。您将更全面地了解您需要做什么来保护自己,并且您将能够重新将时间花在您的专业领域。
| 归档时间: |
|
| 查看次数: |
6048 次 |
| 最近记录: |