Skocz do zawartości
marioz

Jak powinień zareagować profesjonalny administrator?

Polecane posty

Witam,

 

Mam do Was pytanie. Jak powinien zareagować profesjonalny administrator serwera dedykowanego w sytuacji kiedy poprzez lukę w popularnym oprogramowaniu doszło do podmiany plików index.php we wszystkich katalogach głównych domen hostowanych w obrębie jednego konta ftp i wiadomo, że nie nastąpiły nieuprawnione logowania przez ftp, oraz nie została naruszona struktura serwera? Jak byście reagowali w takiej sytuacji w celu zabezpieczenia serwera, danych przechowywanych na tym serwerze?

 

Pozdrawiam

 

 

 

 

 

 

 

 

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

"oraz nie została naruszona struktura serwera?" tego nie wiadomo

Konsekwencja - serwer do zaorania, strony odtwarzamy z backupów, ewentualnie jak jesteśmy pewni że atak nie wyszedł poza usera to cała zawartość userów której dotyczy do odtworzenia, zabawa w próby wycinania tylko zarażonych kawałków prowadzą do dalszych infekcji

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

"oraz nie została naruszona struktura serwera?" tego nie wiadomo

Konsekwencja - serwer do zaorania, strony odtwarzamy z backupów, ewentualnie jak jesteśmy pewni że atak nie wyszedł poza usera to cała zawartość userów której dotyczy do odtworzenia, zabawa w próby wycinania tylko zarażonych kawałków prowadzą do dalszych infekcji

 

Niekoniecznie. Bardzo wielu użytkowników CMS'ów Joomla oraz Wordpress ma tego typu problemy- wstrzykiwanie złośliwego kodu, podmiana plików, upload złośliwych skryptów. Jeśli w tym wypadków mowa jest o tego typu sytuacji, naszym zdaniem wstarczające będzie przywrócenie witryn oraz baz danych z kopii zapasowej (pod warunkiem, że rzeczywiście nie naruszone zostały zabezpieczenia serwera, a sam atak był przeprowadzony przez lukę w CMS i oczywiście kopia zapasowa jest "zdrowa").

 

Kolejnym krokiem już od strony użytkownika jest kompleksowa aktualizacja CMS' ów oraz wszystkich wtyczek- warto także dokładnie zbadać logi- analiza winna wykazać jaka luka została wykorzystana oraz zlecić audyt bezpieczeństwa. Oczywiście od strony serwera także można wdrożyć dodatkowe zabezpiecznia znacząco utrudniające tego typu operacje w przyszłości (tutaj jest kwestia odpowiedniego doboru narzędzi oraz rozwiązań pod konkretnego klienta).

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

TheOne ma całkowita rację, serwer do postawienia od nowa, wgrana najstarsza możliwa kopia strony.

Dobrze byłoby zrobić też jakiś porządny audyt, ale to już są dość drogie sprawy.

 

Jeśli jest to jednak serwer współdzielony z dużą ilością innych kont, sprawa się też bardzo komplikuje i tu reinstalacja systemu nie jest już tak łatwa.

 

Edytowano przez www.mzone-net.eu (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

To przeważnie dziura w pluginie wordpress/joomla. Wgranie kopii strony nie przyniesie rezultatu, no chyba że wszystkie skrypty zostaną natychmiast zaktualizowane (również ze wszystkimi wtyczkami).

Nie trzeba robić żadnych reinstalli.

Jest pare opcji by wyjść z opresji.

Natomiast administrator nie ma wpływu na kod który jest hostowany, a który jest dziurawy.

Edytowano przez tym (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

TheOne ma całkowita rację, serwer do postawienia od nowa, wgrana najstarsza możliwa kopia strony.

 

Orasz serwer bo ktoś podmienił index.php w obrębie usera? bez jaj ;)

 

Zabezpieczyć pliki usera, wyszukać wszystkie pliki z uid usera i je usunać , usunąc konto usera, utworzyć na nowo i wgrać z kopii łatając luki.

 

 

  • Upvote 3

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Orasz serwer bo ktoś podmienił index.php w obrębie usera? bez jaj

 

Ja nie orzę serwerów, a Ty TGX? No bez jaj, pomyliłeś dziedziny, to nie jest rolnictwo ... ;)

 

plików index.php we wszystkich katalogach głównych domen hostowanych w obrębie jednego konta ftp i wiadomo

 

Serwer trzeba chyba najpierw sprawdzić przeprowadzić audyt bezpieczeństwa, dopiero potem podjąć decyzję o ewentualnej reinstalacji. Jeśli byłoby chociaż najmniejsze podejrzenie naruszenia bezpieczeństwa serwera i zagrożenie bezpieczeństwa innych użytkowników, taki serwer lepiej postawić od nowa.

Taka dywagacja na temat tego czy reinstalować, czy też przeinstalować tylko konto usera lub nawet tylko wgrać "czystą kopię strony" nie da odpowiedzieć jednoznacznie ponieważ jest to zbyt szeroki temat i jest tu tysiące możliwości naruszenia bezpieczeństwa.

 

TGX, podaruj sobie te podteksty, nie wychodzi Ci to najlepiej. ;)

 

 

Edytowano przez www.mzone-net.eu (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

 

 

Taka dywagacja na temat tego czy reinstalować, czy też przeinstalować tylko konto usera lub nawet tylko wgrać "czystą kopię strony" nie da odpowiedzieć jednoznacznie ponieważ jest to zbyt szeroki temat i jest tu tysiące możliwości naruszenia bezpieczeństwa.

 

 

 

 

Akurat to jest dość znany temat w przypadku wp/joomla, więc nie trzeba robić specjalnych audytów.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Akurat to jest dość znany temat w przypadku wp/joomla, więc nie trzeba robić specjalnych audytów.

 

Na podstawie tego co napisał autor tematu nie jesteś w stanie powiedzieć tego co zostało zmienione na serwerze, więc w niektórych przypadkach pozostawienie nienaruszonego serwera bez poprawnego sprawdzenia pod względem bezpieczeństwa jest dość ryzykowane.

Nawet nie wiesz co zostało zainstalowane na serwerze więc na jakiej podstawie możesz napisać, że nie trzeba wykonać audytu? Jeśli serwer zawiera kilkaset/kilka tysięcy kont innych klientów wtedy sprawdza się taki serwer bardzo dokładnie, tu chodzi o dość duże pieniądze.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ireneusz, autor napisał, że wiadomo, iż nic więcej się nie stało. Toteż trzymajmy się jego wersji w tym wypadku.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

 

Na podstawie tego co napisał autor tematu nie jesteś w stanie powiedzieć tego co zostało zmienione na serwerze,

Na podstawie tego:

w sytuacji kiedy poprzez lukę w popularnym oprogramowaniu doszło do podmiany plików index.php we wszystkich katalogach głównych domen hostowanych w obrębie jednego konta ftp

 

 

jestem w stanie stwierdzić co się stało, to dość prosta diagnoza.

Edytowano przez tym (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Damian, autor nie jest administratorem, nie jest w stanie powiedzieć tego czy struktura serwera po włamaniu została naruszona.

Wnioskując z założonego tematu przez autora nie ma też większego zaufania do swojego administratora, a to najgorsza rzecz jaka można mieć.

 

Autor pytał jak każdy by się zachował, więc po co te komentarze? Nie wolno mieć własnego zdania już na tym forum?

 

 

 

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Witam,

 

kiedy poprzez lukę w popularnym oprogramowaniu doszło do podmiany plików index.php we wszystkich katalogach głównych domen hostowanych w obrębie jednego konta ftp i wiadomo, że nie nastąpiły nieuprawnione logowania przez ftp, oraz nie została naruszona struktura serwera?

 

 

 

 

Podkreśliłem dla zwolenników audytów i reinstalacji

 

1. nie było logowania na ftp więc podmiana z poziomu witryny

2. w obrębie jednego konta - zakładamy z dużą pewnością, że php nie pracuje jako mod_php, bo gdyby tak było to na 99% nie udałoby się z poziomu usera apache podmienić wszystkich plików index.php (no chyba, że ktoś daje 777 na wszystko)

3. Nikt rozsądny nie podmienia plików index.php jednego usera mając roota ;) Tak czy inaczej integralność plików systemowych mając odpowiednią politykę bezpieczeństwa łatwo sprawdzić

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bez zaglądania na serwer o którym piszę autor postu nie odważyłbym się postawić takiej diagnozy jak napisałeś powyżej TGX, no chyba, że chodzi o Wasz serwer i Waszego klienta wtedy znasz całą sprawę, a to już rzuca całkiem inne światło na całość.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ireneusz, diagnoza została przedstawiona przez autora już. Zapewne ma takie informacje od swojego administratora. Zatem nie ma co dywagować i wymyślać.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×