Албанские хакеры хостинг WordPress

С распространением инфраструктуры и платформ в качестве поставщиков услуг, это не удивительно, что большинство современных веб-сайтов, хостинг в пресловутом облаке. Это здорово, потому что позволяет организациям и частным лицам, так быстро развертывать свои веб-сайты, с относительно небольшими затратами на их собственной инфраструктуры / систем. Несмотря на то, что есть очень много положительных атрибутов, связанных с проведением в облаке, есть и ограничения, особенно когда речь идет о безопасности и то, что вы, как владелец веб-сайта разрешено делать (это зависит от хозяина и какие функции вы активировали, узнать больше о том, как хозяева управлять веб-сайт безопасности).

Албанские хакеры хостинг WordPress управлять веб-сайт безопасности

Например, это происходит, чтобы играть с сохранением и сбором важной информации в виде бревна, в частности, аудит / безопасности.

За последние несколько месяцев мы разделили ряд статей о том, как веб-сайты взломан и последствия указанных взломов. В прошлом году мы провели некоторое время рассечения как очистить WordPress взломать, используя наш бесплатный плагин WordPress безопасности. Сегодня я хочу копнуть немного глубже в мир реагирования на инциденты, в частности, судебно-медицинской экспертизы - или искусство выяснить, что произошло.

По моему опыту, я могу пересчитать по пальцам число веб-сайтов / сред, которые имели эффективного контроля в месте их различных профилактических инструментов, таких как межсетевые экраны, системы обнаружения вторжений (IDS) и т.д. Во многих случаях инструменты настроены, но журналы либо а.) не собираются или б.) собраны, но не контролируется или проанализированы. Независимо от того, это печальное положения дел, так как воздействие на реакцию падающей слишком велико.

К счастью, то, что мы часто можем рассчитывать на это журналы доступа к сайту. Мы используем слово подсчитывать очень свободно, потому что в большинстве часто мы имеем не более 24 часов, с лучшим случаем сценарием 7 дней. Некоторые скажут, что это хорошо, однако, для того, что мы делаем это только хорошо, и часто не достаточно хорошо, чтобы получить полную историю. Это, безусловно, что-то, чтобы начать работать с тем, хотя. Если есть одна вещь, которую вы должны знать обо мне, это то, что я люблю журналы; это на самом деле, почему я начал проект OSSEC много лет назад, и поэтому я призываю всех использовать его в своих сетях в качестве хоста Системы обнаружения вторжений (HIDS).

Сайт Журналы доступа и криминалистика - Понимание того, как ваш сайт был взломан

Ниже я предоставлю инструкцию, мы надеемся, поможет вам понять и оценить влияние и важность журналов доступа и, что более важно, как понять, что вы видите.

Прежде чем мы можем даже начать, вы должны найти журналы доступа. К сожалению, это может быть различным для каждого хоста, однако, она должна быть легкой частью. Если вы не знаете, где она хранится, обратитесь к хост, и они должны быть в состоянии быстро определить и указать вам в правильном направлении. Наиболее важные вопросы, чтобы спросить, являются:

Албанские хакеры хостинг Wordpress отдельное место, так что вы можете
  1. Вы собираете журналы доступа для моего веб-трафика?
  2. Если нет, то вы можете?
  3. Как долго вы можете собирать журналы для?
  4. У меня есть доступ к этим журналам?
  5. Где я могу найти эти журналы?

Пока вы на него, вы можете пойти дальше и спросить их для FTP / SFTP журналы тоже.

Общие хосты могут быть чрезвычайно трудно. на основе CPanel серверы журналы внутри

/ Каталог доступа журнала в вашей домашней папке, однако, некоторые провайдеры ограничивают журналы до 24 часов.

Если вы посещаете

/ Каталог доступа журнала, вы должны увидеть доступ-журнал и файлы ошибок журнала. Если есть только один файл там, вы, вероятно, не повезло в качестве поставщика только хранит журнал в течение 1 дня.

Если вы видите несколько сжатых файлов (GZIP), это означает, что у вас есть больше дней журналов доступны.

Они, как правило, гораздо лучше работать с по умолчанию настройки Linux хранить журналы немного дольше, однако, не каждый хозяин такой же. Если перейти к / вар / Журнал / HTTPd (или / вар / Журнал / Nginx или / уаг / Журнал / Apache), скорее всего, можно найти журналы по крайней мере 7-10 дней.

Это будет достаточно данных, чтобы надеяться получить хорошую оценку за то, что произошло.

Теперь у вас есть журналы и загрузили их, что это хорошая новость! Теперь мы должны понять, что они означают. Я рекомендую сохранять их в отдельном месте, так что вы можете сделать свой анализ, не нарушая ваш сервер, так как даже более опытные администраторы могут совершать ошибки.

Следующий шаг, чтобы понять, как ваши журналы смотреть. Большинство веб-серверов, включая Apache и Nginx хранят свои журналы в общий формат журнала, также известный как формат NCSA Common Log. Он разделен на несколько частей:

Это даст вам почти всю информацию, которую нужно знать о запросы на свой веб-сайт в том числе, где это прибыло из (IP_ADDRESS), время и дату, URL, размер, браузер и как сервер ответил (HTTP_RESPONSE_CODE).

Это очень стандартный формат журнала и довольно легко понять и синтезировать.

Давайте рассмотрим следующий пример во внимание:

Мы можем видеть, что IP-адрес 66.249.75.219 от Google посетил URL «/» в 9 часов утра в первой половине дня 30-ого июня, 2015. Сервер возвратил «200» (успех), означая страницу существовавшей и ошибок не были получены на запрос.

Если вы не знакомы с этим форматом журнала, я рекомендую потратить некоторое время на чтение этого большое введение в различные форматы журналов. Я также рекомендую посмотреть на ваши журналы чаще, так как они могут обеспечить много видимости на то, что происходит с вашим сайтом.

Вы нашли ваши журналы, и вы понимаете, что они выглядят, отлично!

Теперь возникает вопрос, как сделать смысл всех данных? Это особенно это касается, потому что, в отличие от примера выше, где у нас была одна строка лога, если открыть файл журнала, который, вероятно, найти тысячи до даже миллионы запросов в одном файле. Этого достаточно, чтобы отговорить даже могущественную судебно-аналитик. Поэтому мы должны научиться анализировать и анализировать данные для того, чтобы откачать необходимые нам информацию в действенных путях.

Мы должны искать то, что имеет значение, удалить шум и попытаться определить партнеров, которые дадут нам намек на то, что произошло.

Из-за шума, мы должны отфильтровать все вещи, которые не применяются. Независимо от того, что мы думаем, почти каждый сайт имеет подобную модель, которая может помочь нам построить профиль вещей, чтобы игнорировать и вещи, чтобы сосредоточиться.

Например, запросы на «/». или в верхней части страницы. Каждый посетитель, скорее всего, удар, и тем больше трафика у вас есть, вы можете просто представить себе, сколько из этих линий, которые вы найдете в журналах. Поэтому мы хотим, чтобы лишить такие вещи, или вещи, как CSS или JS файлы загружаются при каждом запросе. Это все, в основном, шум и достаточно легко фильтровать. Если вы терминал выродок, вы можете использовать такие команды, как Grep, чтобы просмотреть журналы, удалив эти ненужные записи:

В приведенном выше примере, мы сняли все .js. CSS. PNG. JPG и файлы .jpg типы из отображения. На среднем участке, это сократит количество строк для проверки более чем на 60%. Вы также можете лишить простые посещения ваших основных страниц, сокращая количество линий более чем на 80%:

В этом примере, я игнорировала «/» запросов, в / контакт и страницы / регистрации. В зависимости от вашего сайта, вы будете иметь всего несколько сотен журналов линий, чтобы пройти, безусловно, намного лучше, чем то, что вы изначально начали.

Если по какой-то причине вы до сих пор тысячи запросов, то мы хотим, чтобы начать делать некоторые предположения и корректировки наших фильтров. Это может быть лучше, чтобы отфильтровать запросы на определенные виды деятельности, которые вы знаете, заслуживают инспекции, в том числе;

  1. запросы POST.
  2. Запросы на страницах администрирования.
  3. Запросы на нестандартные места.

Это можно легко сделать, изменив нашу команду Grep выше, чтобы показывать только запросы на «сор-администратор | сор-Войти | POST /»:

Это обычно сокращает количество линий на 1 / двухсотом, что делает намного легче анализировать. Если вы знаете IP-адрес администраторов сайта, вы можете удалить их, а также (мы использовали 1.2.3.4 и 1.2.3.5 в качестве примера):

Выше мы разделили на несколько шагов, чтобы помочь вам понять и проанализировать с помощью данных. Однако, как мы применяем это и сделать его проницательным?

Мы хотим поделиться с вами в последнее время упражнения мы прошли с одним из наших клиентов. Клиент был на WordPress, они были скомпрометированы, и они имели тот же вопрос, у каждого есть; Как я взломан? Далее, вероятно, будет немного больше технических и потребует некоторого знания командной строки, но это не должно быть слишком плохо для технически склонны. Для тех, кто не так, нет никаких забот, вот почему у вас есть нас.

Первое, что мы сделали агрегируются все журналы в один файл, для нашего здравомыслия:

Это сделало 1,071,201 линии бревен. как показано на туалет; это означает, что мы должны использовать приемы синтаксического анализа выше, чтобы сделать это через эти данные к Рождеству.

Во-первых, мы рассмотрели запросы POST в в.ч.-логин:

Мы удалили наш IP-адрес клиента, и результаты были на самом деле только одна строка лога от 188.163.91.92 (Ukranian IP-адрес).

Естественно, что это могло бы быть ложноположительный или грубой попыткой силы, но если пользователь посетил Wp-администратора после в.ч.-входа, это означает, что его удалось Логин:

Подожди секунду! Я думаю, что мы нашли что-то здесь. Это IP из Украины фактически доступ Wp-администратора после входа в систему и пошел прямо к редактору темы. Это большой красный флаг для нас, и является очевидным показателем стоит обратить внимание, прежде всего, как владелец сайта живет в США и не имеет удаленных помощников. Нам нужно копать глубже, хотя. Теперь мы можем смешать нашу Grep с командой вырезать, чтобы увидеть более легким способом все URL, что IP-доступ:

Боже мой, ты видишь хронологию событий?

Злоумышленник вошел в сайт через Wp-логин, пошел в редактор темы и изменен файл 404.php:

После этого он посетил файл 404 непосредственно:

Что, скорее всего, PHP бэкдор (это было). Он использовал этот файл, чтобы создать еще один черный ход был-wp.php. который вы можете видеть, что он посетил позже. Другой пример того, как злоумышленники не только поставить под угрозу окружающей среды, но затем посмотреть, чтобы сохранить доступ и контролировать, чтобы гарантировать, что если вы обновите контроль доступа, они все еще могут сохранить доступ.

При этом, у нас было достаточно, чтобы сказать с высокой степенью уверенности, что имя пользователя и пароль клиенты были скомпрометированы, давая атакующему, что ей нужно. Атакующая затем использовали их редактор Theme для изменения файлов, что позволяет им вводить бэкдоры, давая им полный контроль, даже после того, как они обновили свои учетные данные.

То, что эти журналы не показали, однако, как они получили пароль. Мы вернулись через несколько дней, и увидел, постоянные попытки доступа к окружающей среде, но это трудно сказать, было ли это причиной или нет, или если злоумышленник просто повезло.

Это следует надеяться дать вам очень маленький, простой, вид в мире судебно-медицинской экспертизы и что он принимает. Это не следует путать с атрибуцией, хотя, или мир идентификации ВОЗ взломаны вас. Это другой процесс все вместе.

В то время как мы используем WordPress в качестве примера выше, одни и те же вещи могут быть применены и к другим технологиям сайта, а также.

Daniel B. Cid является основателем Технический директор компании Sucuri, а также основатель проекта с открытым исходным кодом - OSSEC HIDS. Его интересы варьируются от обнаружения вторжений, журнал анализа (обнаружение вторжений на основе журнала), веб-исследование вредоносных программ и безопасное развитие. Вы можете узнать больше о Данииле на своем сайте dcid.me или на Twitter: @danielcid

Мы больше не поддерживаем комментарии на наших блогах. Если вы хотите, чтобы продолжить разговор, вести диалог с нами через Twitter в @sucurisecurity и @sucurilabs. Если у вас есть рекомендации или вопросы, которые требуют более 140 символов, пожалуйста, отправьте нам письмо по адресу info@sucuri.net.

Первичная боковая панель

Посмотри это видео!

Статьи по Теме

Веб-хостинг Австралии WordPress сайтаВыбор веб-хостинга может быть запутанной задачей, так много веб-хостинг-провайдеров там, предлагающих подобные услуги. Таким образом, мы приняли это решение легче, демонстрируя 10 лучших ...
Ipage хостинг и WordPressПоследнее обновление: 1 января 2017 г. Если вы ищете надежный хозяин, чтобы получить свой новый сайт и работаете, как быстро и как можно дешевле, идти с SiteGround. Они предлагают скидку 60% ...
Вики-МАГ бесплатно WordPress хостингВыбор веб-хостинга может быть запутанной задачей, так много веб-хостинг-провайдеров там, предлагающих подобные услуги. Таким образом, мы приняли это решение легче, демонстрируя 10 лучших ...
Amazon s3 веб-хостинга WordPressВы можете разместить статический сайт на Amazon S3. На статическом сайте, отдельные веб-страницы включают в себя статический контент. Они также могут содержать сценарии на стороне клиента. Напротив, динамический веб-сайт основан на ...
Веб-хостинг новозеландских WordPress блоговВыбор веб-хостинга может быть запутанной задачей, так много веб-хостинг-провайдеров там, предлагающих подобные услуги. Таким образом, мы приняли это решение легче, демонстрируя 10 лучших ...