Il s'agit d'un Question canonique à propos de la sécurité des serveurs - Réagir aux violations (piratage)
Voir aussi :
Version canonique
Je soupçonne qu'un ou plusieurs de mes serveurs sont compromis par un pirate, un virus ou un autre mécanisme :
- Quels sont mes premiers pas ? Lorsque j'arrive sur le site, dois-je déconnecter le serveur, préserver les "preuves", y a-t-il d'autres considérations initiales ?
- Comment faire pour remettre les services en ligne ?
- Comment éviter que la même chose se reproduise immédiatement ?
- Existe-t-il des meilleures pratiques ou méthodologies pour tirer des enseignements de cet incident ?
- Si je voulais mettre en place un plan de réponse aux incidents, par où commencer ? Ce plan doit-il faire partie de mon plan de reprise après sinistre ou de continuité des activités ?
Version originale
2011.01.02 - Je suis sur le chemin du travail à 21h30 un dimanche parce que notre serveur a été compromis d'une manière ou d'une autre et a donné lieu à une DOS attaque sur notre fournisseur. L'accès des serveurs à l'Internet a été coupé, ce qui signifie que plus de 5-600 de nos sites clients sont maintenant hors service. Maintenant, ça pourrait être un piratage FTP, ou une faiblesse dans le code quelque part. Je ne suis pas sûr jusqu'à ce que je sois là.
Comment puis-je le retrouver rapidement ? Nous sommes dans un grand nombre de litiges si je ne remets pas le serveur en marche dès que possible. Toute aide est appréciée. Nous utilisons Open SUSE 11.0.
2011.01.03 - Merci à tous pour votre aide. Heureusement, je n'étais pas le seul responsable de ce serveur, juste le plus proche. Nous avons réussi à résoudre ce problème, bien que cela puisse ne pas s'appliquer à beaucoup d'autres dans une situation différente. Je vais détailler ce que nous avons fait.
On a débranché le serveur du réseau. Il effectuait (tentait d'effectuer) une attaque par déni de service sur un autre serveur en Indonésie, et le coupable était aussi basé là-bas.
Nous avons d'abord essayé d'identifier d'où venait ce problème sur le serveur, étant donné que nous avons plus de 500 sites sur le serveur, nous nous attendions à être un travail au noir pendant un certain temps. Cependant, avec un accès SSH, nous avons lancé une commande commande pour trouver tous les fichiers édités ou créés pendant que les attaques ont commencé. Heureusement, le fichier incriminé a été créé pendant les vacances d'hiver. vacances d'hiver, ce qui signifie que peu d'autres fichiers ont été créés sur le serveur à ce moment-là.
Nous avons ensuite été en mesure d'identifier le fichier incriminé qui se trouvait à l'intérieur de l'application images téléchargées dans un dossier ZenCart site web.
Après une courte pause cigarette, nous avons conclu qu'en raison de l'emplacement des dossiers il avait dû être téléchargé via une installation de téléchargement de fichiers qui était mal sécurisé. Après quelques recherches sur Google, nous avons découvert qu'il y avait une faille de sécurité qui permettait de télécharger des fichiers, dans le cadre de l'application panneau d'administration de ZenCart, pour une photo d'une maison de disques. (La section qu'elle n'a jamais vraiment utilisée), l'affichage de ce formulaire permettait juste de télécharger n'importe quel n'importe quel fichier, il ne vérifie pas l'extension du fichier, et ne vérifie même pas et ne vérifiait même pas si l'utilisateur était connecté.
Cela signifie que n'importe quel fichier peut être téléchargé, y compris un fichier PHP pour l'utilisateur. l'attaque. Nous avons sécurisé la vulnérabilité avec ZenCart sur le site infecté. infecté, et supprimé les fichiers incriminés.
Le travail était fait, et j'étais à la maison pour 2 heures du matin.
La morale - Appliquez toujours les correctifs de sécurité pour ZenCart, ou tout autre système CMS d'ailleurs. Comme lorsque les mises à jour de sécurité sont publiées, le monde entier monde entier est informé de la vulnérabilité. - Faites toujours des sauvegardes, et sauvegardez vos sauvegardes. - Employez ou faites en sorte que quelqu'un soit là dans ces moments-là. Pour éviter que quelqu'un ne se fie à un message de panique sur Server Faute.
