قراصنة الألبانية استضافة وورد

مع انتشار البنية التحتية ومنصة بمثابة مقدمي الخدمة، فإنه ليس من المستغرب أن غالبية المواقع اليوم تستضيف في سحابة المثل. هذا شيء عظيم لأنه يسمح للمؤسسات والأفراد على حد سواء لنشر بسرعة مواقعها على شبكة الإنترنت، مع مقدار حمل قليل نسبيا على هياكلها الأساسية / النظم الخاصة. في حين أن هناك العديد من الصفات الإيجابية المرتبطة استضافة في سحابة، وهناك أيضا قيود، وتحديدا عندما يتعلق الأمر بالأمن وما لكم ويسمح صاحب الموقع للقيام (ان ذلك يعتمد على المضيف وما هي الميزات التي مكنت، وتعلم أكثر حول كيفية تستضيف إدارة أمن موقع الويب الخاص بك).

قراصنة الألبانية ورد الاستضافة إدارة أمن موقع الويب الخاص بك

على سبيل المثال، وهذا يأتي في اللعب مع الاحتفاظ بهم وجمع المعلومات الحيوية في شكل سجلات، وسجلات على وجه التحديد والتدقيق / الأمن.

على مدى الأشهر القليلة الماضية قمنا المشتركة عددا من المقالات حول كيفية الحصول على اختراق المواقع وتأثيرات قال الخارقة. في العام الماضي، قضينا بعض الوقت تشريح كيفية تنظيف الإختراق وورد باستخدام لدينا مجانا المساعد الأمن وورد. اليوم، أريد أن حفر أبعد قليلا في العالم من الاستجابة للحوادث، وتحديدا، والطب الشرعي - أو فن معرفة ما حدث.

في تجربتي، يمكنني الاعتماد على يد واحدة من عدد من الموقع / البيئات التي كان التدقيق الفعال في مكان مختلف أدواتها الوقائية مثل الجدران النارية وأنظمة كشف التسلل (IDS)، وما إلى ذلك في كثير من الحالات، يتم تكوين الأدوات ولكن السجلات إما أ.) لا يتم جمعها أو ب.) التي تم جمعها، ولكن لم يتم رصد أو تحليلها. بغض النظر، بل هو حالة محزنة لأن الآثار إلى الاستجابة للحوادث كبيرة جدا.

لحسن الحظ، ما يمكننا في كثير من الأحيان الاعتماد على وسجلات الدخول على شبكة الإنترنت. نحن نستخدم كلمة عد فضفاضة جدا، لأنه في أغلب الأحيان ليست لدينا أكثر من 24 ساعة، مع أفضل الحالات سيناريو 7 أيام. وقد يقول البعض أن هذا أمر جيد، ولكن لماذا نحن نفعل ذلك على ما يرام فقط وغالبا ما تكون غير جيدة بما فيه الكفاية للحصول على القصة الكاملة. هو بالتأكيد شيء لبدء العمل مع بالرغم من ذلك. إذا كان هناك شيء واحد يجب أن تعرفه عن لي، هو أنني أحب السجلات. هو في الواقع السبب في أنني بدأت المشروع OSSEC منذ سنوات عديدة، والسبب في أنني أشجع الجميع على توظيف ذلك في شبكاتهم بمثابة نظام لكشف التسلل (HIDS) المضيف.

موقع سجلات الوصول والطب الشرعي - فهم كيف موقع الويب الخاص بك تم اختراق

أدناه، وسوف توفر دليلا لمساعدة نأمل أن نفهم ونقدر تأثير وأهمية سجلات الدخول الخاصة بك، والأهم، وكيفية جعل الشعور ما كنت ترى.

قبل أن نبدأ حتى، لديك للعثور على سجلات الدخول الخاصة بك. للأسف، وهذا يمكن أن يكون مختلفا عن كل المضيف، ومع ذلك، فإنه من المفترض أن يكون الجزء السهل. إذا كنت غير متأكد حيث يتم تخزينها، اتصل المضيف وأنها ينبغي أن تكون قادرة على التعرف بسرعة وتوجيهك في الاتجاه الصحيح. أهم الأسئلة لطرح ما يلي:

قراصنة الألبانية وورد استضافة موقع منفصل حتى تتمكن من
  1. هل جمع سجلات الدخول لبلدي حركة المرور على الانترنت؟
  2. إذا لم يكن كذلك، يمكن لك؟
  3. كم أنت جمع السجلات ل؟
  4. هل لديك الوصول إلى هذه السجلات؟
  5. أين يمكنني العثور على هذه السجلات؟

بينما كنت في ذلك، قد ترغب في المضي قدما ونطلب منهم لFTP الخاصة بك / SFTP بتسجيل جدا.

يمكن أن تستضيف المشتركة يكون من الصعب للغاية. خوادم وحة التحكم أساس لها سجلات داخل

/ دليل الوصول سجل في المجلد الرئيسي الخاص بك، ولكن بعض مقدمي تقييد السجلات إلى 24 ساعة.

إذا قمت بزيارة

/ الدليل وصول السجل، يجب أن تشاهد الوصول السجل والملفات خطأ تسجيل. إذا كان هناك ملف واحد فقط هناك، أنت من المحتمل من الحظ كمزود لديك فقط بتخزين سجل لمدة 1 يوم.

إذا كنت ترى عدة ملفات مضغوطة (gzip)، ثم هذا يعني أن لديك أكثر من أيام السجلات المتوفرة.

هذه عادة ما تكون أفضل بكثير من العمل مع كافتراض الحفاظ على إعدادات لينكس السجلات لفترة أطول قليلا، ولكن ليس كل المضيف هو نفسه. إذا كنت انتقل إلى / فار / السجل / هتبد (أو / فار / السجل / إنجن إكس أو / فار / السجل / اباتشي)، يمكنك المرجح أن تجد السجلات لمدة 7-10 أيام على الأقل.

وستكون هذه البيانات كافية لنأمل الحصول على تقدير جيد على ما حدث.

لديك الآن السجلات الخاصة بك وقمت بتحميل لهم، وهذا هو نبأ عظيم! الآن لدينا لمعرفة ما تعنيه. أوصي حفظها في مكان منفصل حتى تتمكن من القيام تحليلك دون إزعاج الخادم الخاص بك، وحتى سيسادمينس أكثر خبرة يمكن أن يخطئ.

والخطوة التالية هي أن نفهم كيف تبدو السجلات الخاصة بك. معظم خوادم الويب، بما في ذلك طراز أباتشي وإنجن إكس تخزين السجلات في شكل السجل المشترك، والمعروف أيضا باسم تنسيق NCSA دخول المشترك. وهي مقسمة إلى أجزاء قليلة:

هذا وسوف تعطيك تقريبا كل المعلومات التي تحتاج إلى معرفته بشأن الطلبات إلى موقع الويب الخاص بك بما في ذلك، حيث جاءت (IP_ADDRESS)، والوقت والتاريخ، وURL، حجم، ومتصفح وكيف استجاب الخادم الخاص بك (HTTP_RESPONSE_CODE).

وهو شكل سجل قياسي جدا وسهلة جدا لفهم وتجميع.

لنأخذ المثال التالي بعين الاعتبار:

يمكننا أن نرى أن عنوان IP 66.249.75.219 من جوجل زار URL "/" في 9:00 في الصباح يونيو 30، عاد عام 2015. والخادم "200" (النجاح)، وهذا يعني أن الصفحة كانت موجودة وكان إنشاء أي أخطاء على طلب.

إذا كنت لم تكن مألوفة مع هذا الشكل السجل، أوصي قضاء بعض الوقت في قراءة هذا مقدمة كبيرة لمختلف الأشكال السجل. وأوصي أيضا النظر في السجلات الخاصة بك في أكثر الأحيان، لأنها يمكن أن توفر الكثير من الضوء على ما يحدث مع موقع الويب الخاص بك.

هل وجدت السجلات الخاصة بك وأنك تفهم ما تبدو عليه، والكمال!

يصبح السؤال الآن، كيف يعقل لجميع البيانات؟ هذا خاصة فيما يتعلق لأنه على عكس المثال السابق حيث كان لدينا خط سجل واحد، إذا قمت بفتح ملف السجل الخاص بك أنت من المحتمل أن تجد الآلاف إلى الملايين حتى من الطلبات في ملف واحد. وهذا يكفي لثني حتى أقوى من المحللين الطب الشرعي. لذلك، علينا أن نتعلم كيفية تحليل وتحليل البيانات من أجل لسحب المعلومات التي نحتاجها بطريقة قابلة للتنفيذ.

لدينا للبحث ما يهم، وإزالة الضجيج ومحاولة تحديد الشركاء من شأنها أن تعطينا تلميح على ما حدث.

بسبب الضوضاء، لدينا لتصفية كل الاشياء التي لا تنطبق. بغض النظر عن ما نفكر به، وتقريبا كل موقع لديه نمط مماثل يمكن أن تساعدنا في بناء الشخصية من الأمور التي تتجاهل والأشياء التى يمكن التركيز عليها.

على سبيل المثال، تطلب إلى "/". أو الجزء العلوي من الصفحة. كل زائر من المرجح أن تصل إلى هذا، والمزيد من الحركة لديك يمكنك تخيل كم من هذه الخطوط ستجد في السجلات الخاصة بك. لذلك نحن نريد لتجريد أشياء من هذا القبيل، أو أشياء مثل CSS أو JS الملفات التي يتم تحميلها على كل طلب. هذا هو كل شيء، ومعظمهم من الضوضاء وسهل بما يكفي لتصفيتها. إذا كنت المهوس محطة، يمكنك استخدام الأوامر مثل البقرى لرؤية السجلات الخاصة بك عن طريق إزالة هذه القيود غير الضرورية:

في المثال أعلاه، فإننا جردت كل شبيبة. المغلق. بابوا نيو غينيا. JPG وملف .jpg أنواع من عرض. على موقع متوسط، فإنه سيتم خفض عدد خطوط للتفتيش من قبل أكثر من 60٪. يمكنك أيضا تجريد مرة بسيطة للصفحات الرئيسية الخاصة بك، وقطع عدد من خطوط بأكثر من 80٪:

في هذا المثال، I تجاهل "/" طلبات و/ الاتصال وصفحات / الاشتراك. اعتمادا على موقع الويب الخاص بك، سيكون لديك فقط بضع مئات من خطوط سجل من خلال الذهاب، بالتأكيد أفضل بكثير من ما كنت بدأت أصلا مع.

إذا كان لسبب لا يزال لدينا الآلاف من طلبات، ثم نريد أن تبدأ في وضع بعض الافتراضات وتعديل الفلاتر لدينا. قد يكون من الأفضل لتصفية طلباتك لبعض الأنشطة التي تعرف تستحق التفتيش، بما في ذلك؛

  1. طلبات POST.
  2. طلبات للصفحات المشرف.
  3. طلبات إلى مواقع غير القياسية.

التي يمكن بسهولة أن يتم ذلك عن طريق تعديل قيادة البقرى اعلاه لطلبات المعرض الوحيد ل"الفسفور الابيض بين المشرف | الفسفور الابيض بين تسجيل الدخول | POST /":

الذي يمر عموما عدد الخطوط في موعد أقصاه 1/200، مما يجعل من الأسهل كثيرا على تحليل. إذا كنت تعرف عناوين IP من مشرفي الموقع، يمكنك إزالتها، وكذلك (كنا 1.2.3.4 و1.2.3.5 كأمثلة):

فوق شاركنا بضع خطوات لمساعدتك على فهم وتحليل من خلال البيانات الخاصة بك. ومع ذلك، كيف نطبق هذا وجعله الثاقبة؟

نحن نريد أن أطلعكم على ممارسة الأخيرة التي مررنا بها مع واحد من عملائنا. كان العميل على وورد، كانت الشبهة وكان لديهم الجميع نفس السؤال له. كيف يمكنني الحصول على اختراق؟ وفيما يلي المرجح أن يكون أكثر قليلا التقني وسوف تتطلب بعض المعرفة سطر الأوامر، ولكن لا ينبغي أن يكون سيئا للغاية بالنسبة ليميل من الناحية الفنية. لتلك التي ليست كذلك، لا تقلق، لهذا السبب كان لديك لنا.

كان أول شيء فعلناه الكلي كافة السجلات في ملف واحد، على سبيل التعقل لدينا:

هذه المقدمة 1071201 خطوط من جذوع الأشجار. كما هو معروض من قبل مرحاض. وهذا يعني أن لدينا للاستفادة من الحيل الاعراب فوق لجعله من خلال هذه البيانات بحلول عيد الميلاد.

أولا، نحن ننظر لطلبات POST إلى WP-الدخول:

أزلنا عنواننا IP العميل وكانت النتائج في الواقع مجرد سطر واحد من السجل من 188.163.91.92 (عنوان IP الأوكراني).

وبطبيعة الحال، فإنه كان يمكن أن يكون إيجابية كاذبة أو محاولة القوة الغاشمة، ولكن إذا زار المستخدم الفسفور الابيض بين المشرف بعد الفسفور الابيض بين الدخول، فهذا يعني نجح تسجيل الدخول له:

انتظر لحظة! أعتقد أننا وجدنا شيئا هنا. أن IP من أوكرانيا الوصول فعلا الفسفور الابيض بين المشرف بعد تسجيل الدخول وتوجه مباشرة إلى المحرر موضوع. هذا هو علم أحمر كبير بالنسبة لنا، وهو مؤشر واضح يستحق الاهتمام، خصوصا أن يعيش صاحب موقع في الولايات المتحدة وليس لديه المساهمين عن بعد. نحن بحاجة إلى حفر أعمق بالرغم من ذلك. الآن يمكننا خلط البقرى لدينا مع الأمر قطع لرؤية بطريقة أسهل عن URL هو هذا IP الوصول:

إلهي، هل ترى زمني للأحداث؟

المهاجم بتسجيل الدخول إلى الموقع عبر الفسفور الابيض بين الدخول، وذهب إلى المحرر موضوع وتعديل الملف 404.php:

بعد ذلك، زار ملف 404 مباشرة:

والتي من المرجح مستتر PHP (كان). انه استخدم هذا الملف لخلق مستتر آخر كان-wp.php. التي تستطيع أن ترى زار في وقت لاحق أيضا. مثال آخر على كيفية المهاجمين لا يضر البيئة فقط، لكن بعد ذلك ننظر للاحتفاظ الوصول والسيطرة لضمان أن إذا قمت بتحديث الضوابط وصولك أنها لا تزال تحتفظ الوصول.

مع هذا، كان لدينا ما يكفي للقول مع وجود درجة عالية من الثقة أن اسم المستخدم وكلمة المرور للعملاء وخطر، وإعطاء المهاجم ما تحتاج إليه. ثم قام المهاجم استخدام محرر الموضوع لتعديل الملفات، والسماح لهم لحقن خلفي، ومنحهم السيطرة الكاملة حتى بعد أن يتم تجديد وثائق تفويضهم.

ماذا هذه السجلات لا تظهر إلا هي الطريقة التي حصلت على كلمة المرور. عدنا بضعة أيام، وشهدت محاولات مستمرة للوصول إلى بيئة ولكن من الصعب القول ما اذا كان هذا هو السبب أم لا، أو إذا كان هذا المهاجم مجرد محظوظ.

هذا يجب أن تعطي نأمل أن صغير جدا وبسيطة، وعرض في عالم الطب الشرعي وما يلزم. هذا لا ينبغي الخلط بينه وبين إسناد الرغم من ذلك، أو عالم تحديد WHO اختراق لك. هذا هو عملية مختلفة كل ذلك معا.

بينما نستخدم ورد على سبيل المثال أعلاه، يمكن تطبيق نفس الأشياء لتقنيات الموقع الأخرى كذلك.

دانييل بى سيد هو مؤسس CTO من Sucuri وأيضا مؤسس مشروع مفتوح المصدر - OSSEC HIDS. وتتراوح مصالحه من كشف التسلل، سجل التحليل (كشف التسلل القائم تسجيل)، والبحوث والبرمجيات الخبيثة على شبكة الإنترنت وتطوير آمنة. يمكنك العثور على مزيد من المعلومات حول دانيال على موقعه dcid.me أو على تويتر:danielcid

لم نعد دعم تعليقات على بلوق لدينا. إذا كنت ترغب في مواصلة الحديث، والانخراط معنا عبر تويتر فيsucurisecurity وsucurilabs. إذا كان لديك توصيات أو الأسئلة التي تتطلب أكثر من 140 حرفا، يرجى مراسلتنا على البريد الإلكتروني في info@sucuri.net.

الشريط الجانبي الرئيسي

شاهد هذا الفيديو!

مقالات ذات صلة

استضافة المواقع أستراليا ورد الموقعيمكن اختيار خدمة استضافة المواقع تكون مهمة مربكة، مع العديد من مقدمي خدمات استضافة المواقع هناك، والتي تقدم خدمات مماثلة. لذلك حققنا هذا القرار أسهل من خلال عرض أفضل 10 ...
اي بيج استضافة ووردآخر تحديث في: 1 يناير 2017 إذا كنت تبحث عن استضافة موثوق للحصول على موقعك الجديد وتعمل بالسرعة ورخيصة قدر الإمكان، والذهاب مع SiteGround. انهم تقدم خصم 60٪ ...
المجموعة الاستشارية للألغام ويكي ورد استضافة مجانيةيمكن اختيار خدمة استضافة المواقع تكون مهمة مربكة، مع العديد من مقدمي خدمات استضافة المواقع هناك، والتي تقدم خدمات مماثلة. لذلك حققنا هذا القرار أسهل من خلال عرض أفضل 10 ...
الأمازون S3 ورد استضافة المواقعيمكنك استضافة موقع على شبكة الانترنت ثابت على الأمازون S3. على موقع ثابت، وتشمل صفحات الويب الفردية محتوى ثابت. قد تحتوي أيضا على البرامج النصية من جانب العميل. على النقيض من ذلك، وهو موقع ديناميكي يعتمد على ...
استضافة المواقع بلوق وورد نيوزيلندييمكن اختيار خدمة استضافة المواقع تكون مهمة مربكة، مع العديد من مقدمي خدمات استضافة المواقع هناك، والتي تقدم خدمات مماثلة. لذلك حققنا هذا القرار أسهل من خلال عرض أفضل 10 ...