pirates albanais hébergement wordpress

Avec la prolifération des infrastructures et la plate-forme en tant que fournisseurs de services, il est pas surprenant que la majorité des sites Web d'aujourd'hui accueillent dans le nuage proverbiale. C'est grand parce qu'il permet aux organisations et les individus de déployer rapidement leurs sites Web, avec des frais généraux relativement peu sur leurs propres infrastructures / systèmes. Bien qu'il existe tant d'attributs positifs associés à l'hébergement dans les nuages, il y a aussi des limites, notamment en matière de sécurité et ce que vous en tant que propriétaire d'un site Web sont autorisés à le faire (cela dépend de l'hôte et les fonctionnalités que vous avez activé, en savoir plus sur la façon dont les hôtes gérer votre sécurité du site).

les pirates albanais wordpress hébergement gérer votre sécurité site web

Par exemple, cela vient pour jouer avec la conservation et la collecte d'informations vitales sous forme de journaux, en particulier, les journaux d'audit / sécurité.

Au cours des derniers mois, nous avons partagé un certain nombre d'articles sur la façon dont les sites se piraté et les impacts de ces hacks. L'année dernière, nous avons passé un certain temps à disséquer comment nettoyer un hack WordPress en utilisant notre plugin WordPress gratuit de sécurité. Aujourd'hui, je veux creuser un peu plus loin dans le monde de la réponse aux incidents, en particulier, la médecine légale - ou l'art de déterminer ce qui est arrivé.

Dans mon expérience, je peux compter sur une main le nombre de sites Web / environnements qui ont eu un contrôle efficace en place pour leurs différents outils de prévention tels que Firewalls, systèmes de détection d'intrusion (IDS), etc. Dans de nombreux cas, les outils sont configurés, mais les journaux sont soit a.) ne sont pas perçus ou b.) ont été recueillies, mais ne sont pas surveillés ou analysées. Quoiqu'il en soit, il est un triste état de choses parce que les impacts de la réponse aux incidents est trop grande.

Heureusement, ce que nous pouvons compter souvent sur des journaux d'accès au site Web. Nous utilisons le nombre de mots très vaguement, parce que dans le plus souvent nous n'avons pas plus de 24 heures, avec un meilleur scénario cas de 7 jours. Certains diront que cela est bon, cependant, pour ce que nous faisons est juste correct et souvent pas assez bon pour obtenir toute l'histoire. Il est certainement quelque chose à commencer à travailler avec bien. S'il y a une chose que vous devez savoir sur moi, il est que j'aime les journaux; il est en fait pourquoi j'ai commencé il y a plusieurs années, le projet OSSEC et pourquoi je vous encourage tous à l'employer dans leurs réseaux en tant que système de détection d'intrusion hôte (HIDS).

Site Web Journaux d'accès et Forensics - Comprendre comment votre site a été piraté

Ci-dessous, je fournirai un guide pour vous aider à comprendre et je l'espère apprécier l'impact et de l'importance de vos journaux d'accès et, plus important encore, comment comprendre ce que vous voyez.

Avant même de commencer, vous devez trouver vos journaux d'accès. Malheureusement, cela peut être différent pour chaque hôte, cependant, il est censé être la partie facile. Si vous ne savez pas où il est stocké, contactez votre hôte et ils devraient être en mesure d'identifier rapidement et vous orienter dans la bonne direction. Les questions les plus importantes à poser sont les suivantes:

les pirates albanais d'hébergement wordpress emplacement séparé afin que vous puissiez
  1. Est-ce que vous collectez les journaux d'accès pour le trafic de mon site?
  2. Sinon, pouvez-vous?
  3. Depuis combien de temps êtes-vous collectez les journaux pour?
  4. Ai-je accès à ces journaux?
  5. Où puis-je trouver les journaux?

Pendant que vous y êtes, vous voudrez peut-être aller de l'avant et demandez-leur de votre FTP / SFTP enregistre aussi.

hôtes partagés peuvent être extrêmement difficile. serveurs cPanel ont les journaux à l'intérieur du

/ Répertoire accès journal dans votre dossier de base, cependant, certains fournisseurs limitent les journaux à 24 heures.

Si vous visitez le

/ Répertoire accès journal, vous devriez voir l'accès et les fichiers log-log erreur. S'il n'y a qu'un seul fichier là-dedans, vous êtes probablement hors de la chance que votre fournisseur ne stocke que le journal pour 1 jour.

Si vous voyez plusieurs fichiers compressés (gzip), cela signifie que vous avez plus de jours de journaux disponibles.

Ceux-ci sont en général beaucoup mieux de travailler avec les paramètres par défaut comme Linux garder les journaux un peu plus longtemps, cependant, pas chaque hôte est le même. Si vous naviguez vers / var / log / httpd (ou / var / log / ou nginx / var / log / apache), vous pouvez probablement trouver des journaux pendant au moins 7-10 jours.

Ce sera assez de données pour nous espérons obtenir une bonne appréciation pour ce qui est arrivé.

Vous avez maintenant vos journaux et les avez téléchargé, ce sont d'excellentes nouvelles! Maintenant, nous devons comprendre ce qu'ils veulent dire. Je vous recommande de les enregistrer dans un endroit séparé afin que vous puissiez faire votre analyse sans déranger votre serveur, car même les plus expérimentés peuvent sysadmins faire des erreurs.

L'étape suivante consiste à comprendre comment regarder vos journaux. La plupart des serveurs web, y compris Apache et Nginx stockent leurs journaux au format journal commun, également connu sous le nom du format journal NCSA commun. Il est divisé en quelques parties:

Cela vous donnera presque toutes les informations que vous devez savoir sur les demandes de votre site Web, y compris, d'où il vient (IP_ADDRESS), l'heure et la date, l'URL, la taille, le navigateur et la façon dont votre serveur a répondu (http_response_code).

Il est un format de journal très standard et assez facile à comprendre et à synthétiser.

Prenons l'exemple suivant en considération:

Nous pouvons voir que l'adresse IP 66.249.75.219 de Google a visité l'URL « / » à 9 heures du matin 30 Juin 2015. Le serveur a renvoyé un « 200 » (succès), ce qui signifie la page existé et aucune erreur ont été générés sur la demande.

Si vous n'êtes pas familier avec ce format de journal, je vous recommande de passer du temps à lire cette excellente introduction aux différents formats de journaux. Je recommande également à la recherche le plus souvent à vos journaux, car ils peuvent fournir beaucoup de visibilité à ce qui se passe avec votre site Web.

Vous avez trouvé vos journaux et vous comprenez ce qu'ils ressemblent, parfait!

La question est maintenant, comment voulez-vous donner un sens de toutes les données? Cela est particulièrement inquiétant parce que, contrairement à l'exemple ci-dessus où nous avions une ligne de journal, si vous ouvrez votre fichier journal que vous êtes susceptible de trouver des milliers de même des millions de demandes dans un seul fichier. Cela est suffisant pour dissuader même les plus puissants des analystes médico-légaux. Par conséquent, nous devons apprendre à analyser et analyser les données afin de siphonner les informations dont nous avons besoin d'une manière action.

Nous devons chercher ce qui compte, supprimer le bruit et essayer d'identifier les partenaires qui nous donnent une idée de ce qui est arrivé.

En raison du bruit, nous devons filtrer toutes les choses qui ne s'applique pas. Peu importe ce que nous pensons, presque tous les sites Web a un modèle similaire qui peut nous aider à construire un profil de choses à ignorer et de se concentrer sur les choses.

Par exemple, les demandes de « / ». ou le haut de la page. Chaque visiteur est susceptible de frapper que, et plus de trafic que vous avez, vous pouvez imaginer combien de ces lignes que vous trouverez dans vos journaux. Nous voulons donc dépouiller des choses comme ça, ou des choses comme des fichiers CSS ou JS chargés sur chaque demande. Tout cela est, la plupart du temps le bruit et assez facile à filtrer. Si vous êtes un geek de terminal, vous pouvez utiliser des commandes comme grep pour voir vos journaux en supprimant ces entrées inutiles:

Dans l'exemple ci-dessus, nous avons enlevé tout .js. css. .jpg. jpg et fichiers .jpg types d'affichage. Sur un site moyen, il coupera le nombre de lignes à inspecter de plus de 60%. Vous pouvez aussi supprimer des visites simples à vos pages principales, réduisant le nombre de lignes de plus de 80%:

Dans cet exemple, je l'ai ignoré les demandes « / », le contact / et les / pages d'inscription. En fonction de votre site, vous aurez quelques centaines de lignes de journaux à traverser, sans aucun doute beaucoup mieux que ce que vous avez initialement commencé.

Si pour une raison quelconque, vous avez encore des milliers de demandes, alors nous voulons commencer à faire des hypothèses et en ajustant nos filtres. Il pourrait être préférable de filtrer vos demandes à certaines activités que vous connaissez méritent une inspection, y compris;

  1. Les requêtes POST.
  2. Les demandes de pages d'administration.
  3. Les demandes adressées à un emplacement non standard.

Cela peut se faire facilement en modifiant notre commande grep ci-dessus pour que les demandes d'exposition à « wp-admin | wp-login | POST / »:

Cela permet de réduire généralement le nombre de lignes par 1 / 200e, ce qui rend beaucoup plus facile à analyser. Si vous connaissez les adresses IP des administrateurs du site, vous pouvez les supprimer aussi bien (nous avons utilisé 1.2.3.4 et 1.2.3.5 à titre d'exemple):

Au-dessus, nous avons partagé quelques étapes pour vous aider à comprendre et à analyser à travers vos données. Cependant, comment pouvons-nous appliquer cela et faisons perspicaces?

Nous voulons partager avec vous un récent exercice, nous avons traversé avec un de nos clients. Le client était sur WordPress, ils ont été compromis et ils avaient la même question que chacun a; Comment ai-je piraté? Ce qui suit sera probablement un peu plus technique et nécessitera une certaine connaissance de la ligne de commande, mais il ne devrait pas être trop mauvais pour la technique incliné. Pour ceux qui ne sont pas, ont pas de soucis, que la raison pour laquelle vous nous avez.

La première chose que nous avons été ensemble tous les journaux en un seul fichier, pour notre santé mentale:

Ce rendu 1,071,201 lignes de journaux. comme indiqué par wc; cela signifie que nous devrions tirer parti des astuces d'analyse ci-dessus pour le faire à travers ces données par Noël.

Tout d'abord, nous avons cherché des requêtes POST à ​​wp-login:

Nous avons retiré notre adresse IP du client et les résultats étaient en fait juste une ligne de journal de 188.163.91.92 (une adresse IP Ukranian).

Bien entendu, il aurait pu être un faux positif ou une tentative de la force brutale, mais si l'utilisateur a visité wp-admin après la wp-login, cela signifie que son login réussi:

Attends une seconde! Je pense que nous avons trouvé quelque chose. Que la propriété intellectuelle de l'Ukraine qu'accède wp-admin après la connexion et est allé directement à l'éditeur de thème. C'est un grand drapeau rouge pour nous, et est un indicateur apparent mérite l'attention, d'autant plus que le propriétaire du site vit aux États-Unis et n'a pas contribué à distance. Nous devons creuser plus profondément que. Maintenant, nous pouvons mélanger notre grep avec la commande de coupe pour voir d'une manière plus facile toutes les URL qui a accédé IP:

Mon Dieu, voyez-vous la chronologie des événements?

L'attaquant connecté sur le site via wp-login, est allé à l'éditeur de thème et a modifié le fichier 404.php:

Après cela, il a visité le fichier 404 directement:

Ce qui est probablement une porte dérobée PHP (il était). Il a utilisé ce fichier pour créer une autre porte dérobée était-wp.php. que vous pouvez voir qu'il a visité plus tard aussi. Un autre exemple de la façon dont les attaquants non seulement compromettre l'environnement, mais regardez ensuite de conserver l'accès et de contrôle pour assurer que si vous mettez à jour vos contrôles d'accès, ils peuvent encore conserver l'accès.

Avec cela, nous avions assez à dire avec un degré élevé de confiance que le nom d'utilisateur et mot de passe des clients ont été compromis, donnant l'attaquant ce dont elle avait besoin. L'attaquant a ensuite fait usage de leur éditeur de thèmes pour modifier les fichiers, ce qui leur permet d'injecter backdoors, en leur donnant le plein contrôle, même après qu'ils mis à jour leurs informations d'identification.

Ce que ces journaux ne montrent pas est cependant comment ils ont obtenu le mot de passe. Nous sommes retournés quelques jours, et on a vu des tentatives constantes d'accès à l'environnement, mais il est difficile de dire si cela était la cause ou non, ou si cet attaquant était tout simplement chanceux.

Cela devrait nous espérons vous donner une très petite, simple, vue dans le monde de la médecine légale et ce qu'il faut. Cela ne devrait pas être confondu avec l'attribution si, ou dans le monde d'identifier l'OMS vous piraté. C'est un processus tout à fait différent.

Alors que nous utilisons WordPress comme un exemple ci-dessus, les mêmes choses peuvent être appliquées à d'autres technologies de site Web.

Daniel B. Cid est le fondateur CTO de Sucuri et aussi le fondateur du projet open source - OSSEC HIDS. Ses intérêts vont de la détection d'intrusion, analyse log (détection d'intrusion basée sur-log), la recherche de logiciels malveillants sur le Web et le développement sécurisé. Vous pouvez trouver plus sur Daniel sur son dcid.me site ou sur Twitter: @danielcid

Nous ne soutenons plus de commentaires sur nos blogs. Si vous souhaitez poursuivre la conversation, s'engager avec nous via Twitter à @sucurisecurity et @sucurilabs. Si vous avez des recommandations ou des questions qui nécessitent plus de 140 caractères, s'il vous plaît envoyez-nous un courriel à info@sucuri.net.

Barre latérale primaire

Regarde cette video!

Articles Liés

Web d'hébergement australie site wordpressLe choix d'un service d'hébergement Web peut être une tâche déroutante, avec tant de fournisseurs d'hébergement web là-bas, qui offrent des services similaires. Nous avons donc pris cette décision plus facile en mettant en valeur les 10 meilleurs ...
Ipage hébergement et wordpressDernière mise à jour le 1 Janvier, 2017 Si vous êtes à la recherche d'un hôte fiable pour obtenir votre nouveau site et en cours d'exécution aussi rapide et aussi pas cher que possible, aller avec SiteGround. Ils offrent 60% de réduction ...
Wiki hébergement mag gratuit wordpressLe choix d'un service d'hébergement Web peut être une tâche déroutante, avec tant de fournisseurs d'hébergement web là-bas, qui offrent des services similaires. Nous avons donc pris cette décision plus facile en mettant en valeur les 10 meilleurs ...
L'hébergement web wordpress d'AmazonVous pouvez héberger un site Web statique sur Amazon S3. Sur un site statique, les pages Web individuelles comprennent le contenu statique. Ils peuvent également contenir des scripts côté client. En revanche, un site Web dynamique repose sur ...
Web hébergement blogs nz wordpressLe choix d'un service d'hébergement Web peut être une tâche déroutante, avec tant de fournisseurs d'hébergement web là-bas, qui offrent des services similaires. Nous avons donc pris cette décision plus facile en mettant en valeur les 10 meilleurs ...