Jak powinień zareagować profesjonalny administrator?

[marioz 0]

Witam,

 

Mam do Was pytanie. Jak powinien zareagować profesjonalny administrator serwera dedykowanego w sytuacji kiedy poprzez lukę w popularnym oprogramowaniu doszło do podmiany plików index.php we wszystkich katalogach głównych domen hostowanych w obrębie jednego konta ftp i wiadomo, że nie nastąpiły nieuprawnione logowania przez ftp, oraz nie została naruszona struktura serwera? Jak byście reagowali w takiej sytuacji w celu zabezpieczenia serwera, danych przechowywanych na tym serwerze?

 

Pozdrawiam

 

 

 

 

 

 

 

 

 

[theONE 526]

"oraz nie została naruszona struktura serwera?" tego nie wiadomo

Konsekwencja - serwer do zaorania, strony odtwarzamy z backupów, ewentualnie jak jesteśmy pewni że atak nie wyszedł poza usera to cała zawartość userów której dotyczy do odtworzenia, zabawa w próby wycinania tylko zarażonych kawałków prowadzą do dalszych infekcji

[NetDC.pl 27]

"oraz nie została naruszona struktura serwera?" tego nie wiadomo

Konsekwencja - serwer do zaorania, strony odtwarzamy z backupów, ewentualnie jak jesteśmy pewni że atak nie wyszedł poza usera to cała zawartość userów której dotyczy do odtworzenia, zabawa w próby wycinania tylko zarażonych kawałków prowadzą do dalszych infekcji

 

Niekoniecznie. Bardzo wielu użytkowników CMS'ów Joomla oraz Wordpress ma tego typu problemy- wstrzykiwanie złośliwego kodu, podmiana plików, upload złośliwych skryptów. Jeśli w tym wypadków mowa jest o tego typu sytuacji, naszym zdaniem wstarczające będzie przywrócenie witryn oraz baz danych z kopii zapasowej (pod warunkiem, że rzeczywiście nie naruszone zostały zabezpieczenia serwera, a sam atak był przeprowadzony przez lukę w CMS i oczywiście kopia zapasowa jest "zdrowa").

 

Kolejnym krokiem już od strony użytkownika jest kompleksowa aktualizacja CMS' ów oraz wszystkich wtyczek- warto także dokładnie zbadać logi- analiza winna wykazać jaka luka została wykorzystana oraz zlecić audyt bezpieczeństwa. Oczywiście od strony serwera także można wdrożyć dodatkowe zabezpiecznia znacząco utrudniające tego typu operacje w przyszłości (tutaj jest kwestia odpowiedniego doboru narzędzi oraz rozwiązań pod konkretnego klienta).

[www.mzone.uk 1200]

TheOne ma całkowita rację, serwer do postawienia od nowa, wgrana najstarsza możliwa kopia strony.

Dobrze byłoby zrobić też jakiś porządny audyt, ale to już są dość drogie sprawy.

 

Jeśli jest to jednak serwer współdzielony z dużą ilością innych kont, sprawa się też bardzo komplikuje i tu reinstalacja systemu nie jest już tak łatwa.

 

Edytowano Październik 10, 2013 przez www.mzone-net.eu (zobacz historię edycji)

[tym 205]

To przeważnie dziura w pluginie wordpress/joomla. Wgranie kopii strony nie przyniesie rezultatu, no chyba że wszystkie skrypty zostaną natychmiast zaktualizowane (również ze wszystkimi wtyczkami).

Nie trzeba robić żadnych reinstalli.

Jest pare opcji by wyjść z opresji.

Natomiast administrator nie ma wpływu na kod który jest hostowany, a który jest dziurawy.

Edytowano Październik 10, 2013 przez tym (zobacz historię edycji)

[tgx 575]

TheOne ma całkowita rację, serwer do postawienia od nowa, wgrana najstarsza możliwa kopia strony.

 

Orasz serwer bo ktoś podmienił index.php w obrębie usera? bez jaj

 

Zabezpieczyć pliki usera, wyszukać wszystkie pliki z uid usera i je usunać , usunąc konto usera, utworzyć na nowo i wgrać z kopii łatając luki.

 

 

[www.mzone.uk 1200]

Orasz serwer bo ktoś podmienił index.php w obrębie usera? bez jaj

 

Ja nie orzę serwerów, a Ty TGX? No bez jaj, pomyliłeś dziedziny, to nie jest rolnictwo ...

 

plików index.php we wszystkich katalogach głównych domen hostowanych w obrębie jednego konta ftp i wiadomo

 

Serwer trzeba chyba najpierw sprawdzić przeprowadzić audyt bezpieczeństwa, dopiero potem podjąć decyzję o ewentualnej reinstalacji. Jeśli byłoby chociaż najmniejsze podejrzenie naruszenia bezpieczeństwa serwera i zagrożenie bezpieczeństwa innych użytkowników, taki serwer lepiej postawić od nowa.

Taka dywagacja na temat tego czy reinstalować, czy też przeinstalować tylko konto usera lub nawet tylko wgrać "czystą kopię strony" nie da odpowiedzieć jednoznacznie ponieważ jest to zbyt szeroki temat i jest tu tysiące możliwości naruszenia bezpieczeństwa.

 

TGX, podaruj sobie te podteksty, nie wychodzi Ci to najlepiej.

 

 

Edytowano Październik 10, 2013 przez www.mzone-net.eu (zobacz historię edycji)

[tym 205]

 

 

Taka dywagacja na temat tego czy reinstalować, czy też przeinstalować tylko konto usera lub nawet tylko wgrać "czystą kopię strony" nie da odpowiedzieć jednoznacznie ponieważ jest to zbyt szeroki temat i jest tu tysiące możliwości naruszenia bezpieczeństwa.

 

 

 

 

Akurat to jest dość znany temat w przypadku wp/joomla, więc nie trzeba robić specjalnych audytów.

[www.mzone.uk 1200]

Akurat to jest dość znany temat w przypadku wp/joomla, więc nie trzeba robić specjalnych audytów.

 

Na podstawie tego co napisał autor tematu nie jesteś w stanie powiedzieć tego co zostało zmienione na serwerze, więc w niektórych przypadkach pozostawienie nienaruszonego serwera bez poprawnego sprawdzenia pod względem bezpieczeństwa jest dość ryzykowane.

Nawet nie wiesz co zostało zainstalowane na serwerze więc na jakiej podstawie możesz napisać, że nie trzeba wykonać audytu? Jeśli serwer zawiera kilkaset/kilka tysięcy kont innych klientów wtedy sprawdza się taki serwer bardzo dokładnie, tu chodzi o dość duże pieniądze.

[Hekko.pl 239]

Ireneusz, autor napisał, że wiadomo, iż nic więcej się nie stało. Toteż trzymajmy się jego wersji w tym wypadku.

[tym 205]

 

Na podstawie tego co napisał autor tematu nie jesteś w stanie powiedzieć tego co zostało zmienione na serwerze,

Na podstawie tego:

w sytuacji kiedy poprzez lukę w popularnym oprogramowaniu doszło do podmiany plików index.php we wszystkich katalogach głównych domen hostowanych w obrębie jednego konta ftp

 

 

jestem w stanie stwierdzić co się stało, to dość prosta diagnoza.

Edytowano Październik 10, 2013 przez tym (zobacz historię edycji)

[www.mzone.uk 1200]

Damian, autor nie jest administratorem, nie jest w stanie powiedzieć tego czy struktura serwera po włamaniu została naruszona.

Wnioskując z założonego tematu przez autora nie ma też większego zaufania do swojego administratora, a to najgorsza rzecz jaka można mieć.

 

Autor pytał jak każdy by się zachował, więc po co te komentarze? Nie wolno mieć własnego zdania już na tym forum?

 

 

 

 

[tgx 575]

Witam,

 

kiedy poprzez lukę w popularnym oprogramowaniu doszło do podmiany plików index.php we wszystkich katalogach głównych domen hostowanych w obrębie jednego konta ftp i wiadomo, że nie nastąpiły nieuprawnione logowania przez ftp, oraz nie została naruszona struktura serwera?

 

 

 

 

Podkreśliłem dla zwolenników audytów i reinstalacji

 

1. nie było logowania na ftp więc podmiana z poziomu witryny

2. w obrębie jednego konta - zakładamy z dużą pewnością, że php nie pracuje jako mod_php, bo gdyby tak było to na 99% nie udałoby się z poziomu usera apache podmienić wszystkich plików index.php (no chyba, że ktoś daje 777 na wszystko)

3. Nikt rozsądny nie podmienia plików index.php jednego usera mając roota Tak czy inaczej integralność plików systemowych mając odpowiednią politykę bezpieczeństwa łatwo sprawdzić

[www.mzone.uk 1200]

Bez zaglądania na serwer o którym piszę autor postu nie odważyłbym się postawić takiej diagnozy jak napisałeś powyżej TGX, no chyba, że chodzi o Wasz serwer i Waszego klienta wtedy znasz całą sprawę, a to już rzuca całkiem inne światło na całość.

[Hekko.pl 239]

Ireneusz, diagnoza została przedstawiona przez autora już. Zapewne ma takie informacje od swojego administratora. Zatem nie ma co dywagować i wymyślać.

[www.mzone.uk 1200]

Damian, być może, ale każdy ma prawo do swojego zdania, na tym polega forum dyskusyjne, o czym niektórzy chyba zapominają tutaj.