Albanisch Hacker Wordpress Hosting

Mit der Verbreitung von Infrastruktur und Plattform als Service-Provider, ist es keine Überraschung, dass ein Großteil der heutigen Websites ist in sprichwörtlich Cloud-Hosting. Das ist großartig, weil es Organisationen und Einzelpersonen ermöglicht gleichermaßen schnell ihre Websites zu implementieren, mit relativ wenig Aufwand auf die eigene Infrastruktur / Systeme. Zwar gibt es so viele positive Eigenschaften im Zusammenhang mit Hosting in Cloud sind, gibt es auch Einschränkungen, speziell wenn es um Sicherheit geht und was, wie Sie eine Website-Besitzer tun dürfen (es auf dem Host abhängig ist und welche Funktionen Sie aktiviert haben, erfahren Sie mehr wie Hosts verwalten Sie Ihre Website-Sicherheit).

Albanisch Hacker Ihre Website-Hosting-wordpress Sicherheit verwalten

Zum Beispiel kommt dies mit Rückhaltung und Sammlung von lebenswichtigen Informationen in Form von Protokollen, speziell, Audit / Sicherheitsprotokolle zu spielen.

gehackt und die Auswirkungen des Hacks in den letzten paar Monaten haben wir eine Reihe von Artikeln darüber, wie Webseiten geteilt. Im vergangenen Jahr verbrachten wir einige Zeit sezieren, wie ein Wordpress-Hack mit unserem kostenlosen Wordpress Sicherheits-Plug zu reinigen. Heute möchte ich ein bisschen weiter in die Welt der Incident Response graben, speziell, Forensik - oder die Kunst, herauszufinden, was passiert ist.

Nach meiner Erfahrung, ich einerseits die Anzahl der Website / Umgebungen zählen kann, die für ihre verschiedenen präventiven Tools wie Firewalls, Intrusion Detection System (IDS), usw. In vielen Fällen wirksame Prüfung an Ort und Stelle gehabt haben, werden die Werkzeuge konfigurieren aber logs a entweder.) nicht erfasst, oder B ist.) gesammelt, aber nicht überwacht oder analysiert wird. Unabhängig davon ist es ein trauriger Zustand, weil die Auswirkungen auf die Reaktion auf Vorfälle zu groß ist.

Zum Glück, was wir oft auf sind Protokolle Website Zugang zählen. Wir verwenden das Wort sehr lose zählen, denn in den meisten Fällen wir nicht mehr als 24 Stunden, mit einem besten Fall Szenario von 7 Tagen. Einige würden sagen, das ist gut, aber für das, was wir tun es nur in Ordnung ist und oft nicht gut genug, um die ganze Geschichte zu bekommen. Es ist auf jeden Fall etwas zu beginnen, obwohl arbeiten. Wenn es eine Sache ist, sollten Sie über mich wissen, ist es, dass ich logs lieben; es ist eigentlich, warum ich das OSSEC Projekt viele Jahre begann vor und warum ich jeden zu ermutigen, in ihren Netzwerken zu verwenden es als Host Intrusion Detection System (HIDS).

Website Zugriffsprotokolle und Forensik - Verstehen, wie Sie Ihre Website wurde gehackt

Im Folgenden werde ich hoffentlich einen Leitfaden bieten Ihnen die Auswirkungen und die Bedeutung und Ihre Protokolle Zugang verstehen und zu schätzen helfen, noch wichtiger, wie Sinn zu machen, was Sie sehen.

Bevor wir beginnen können, müssen Sie Ihre Zugriffsprotokolle finden. Leider kann diese für jeden Host unterschiedlich sein, aber es sollte der einfache Teil sein. Wenn Sie nicht sicher sind, wo sie gespeichert sind, wenden Sie sich Gastgeber und sie sollten schnell in der Lage sein zu erkennen, und zeigen Sie in die richtige Richtung. Die wichtigsten Fragen zu stellen sind:

Albanisch Hacker Wordpress separaten Ort Hosting so können Sie
  1. Sammeln Sie die Zugriffsprotokolle für meine Website-Traffic?
  2. Wenn nicht, können Sie?
  3. Wie lange sammeln Sie die Protokolle?
  4. Ich habe Sie den Zugriff auf diese Protokolle?
  5. Wo finde ich diese Protokolle?

Während Sie gerade dabei sind, möchten Sie vielleicht gehen Sie vor und sie bitten, für Ihre FTP / SFTP protokolliert auch.

Gemeinsam genutzte Rechner kann extrem schwierig sein. cPanel basierte Server in die Protokolle innerhalb der

/ Access-Log-Verzeichnis in Ihrem Home-Ordner, jedoch beschränken einige Anbieter die Protokolle bis 24 Stunden.

Wenn Sie den Besuch

/ Access-Log-Verzeichnis, sollten Sie das Zugriffsprotokoll und Fehlerprotokolldateien. Wenn es in nur eine Datei ist, sind Sie nur aus Glück als Provider wahrscheinlich das Protokoll für 1 Tag speichert.

Wenn Sie mehrere komprimiert (gzip) Dateien sehen, dann können Sie mehr Tage von Protokollen zur Verfügung haben.

Diese sind in der Regel viel besser, mit zu arbeiten als Standard-Linux-Einstellungen halten Protokolle für ein bisschen länger, aber nicht jeder Wirt gleich ist. Wenn Sie / var navigieren / log / httpd (oder / var / log / nginx oder / var / log / Apache), können Sie wahrscheinlich Protokolle für mindestens 7-10 Tage.

Dies wird genügend Daten sein, um hoffentlich ein gutes Verständnis für das, was stattgefunden hat.

Sie haben nun Ihre Protokolle und sie heruntergeladen haben, das ist eine gute Nachricht! Nun müssen wir herausfinden, was sie bedeuten. Ich empfehle sie in einem separaten Ort zu speichern, so dass Sie Ihre Analyse ohne den Server zu stören tun können, als auch die erfahreneren sysadmins Fehler machen kann.

Der nächste Schritt ist zu verstehen, wie Ihre Protokolle aussehen. Die meisten Web-Servern, einschließlich Apache und Nginx speichern ihre Protokolle im allgemeinen Protokollformat, das auch als NCSA Common Log Format bekannt. Es wird in ein paar Teile gegliedert:

Dies werden Sie fast alle Informationen, die Sie wissen müssen, um die Anforderungen zu Ihrer Website in Bezug auf, einschließlich, wenn es aus (IP_ADDRESS) kam, die Zeit und das Datum, die URL, die Größe, den Browser und wie Sie Ihren Server reagiert (HTTP_RESPONSE_CODE).

Es ist ein sehr Standard-Log-Format und sehr leicht zu verstehen und zu synthetisieren.

Lassen Sie sich das folgende Beispiel in Betracht ziehen:

Wir können sehen, dass die IP-Adresse 66.249.75.219 von Google die URL besucht „/“ um 9 Uhr am Morgen 30. Juni 2015. Der Server lieferte eine „200“ (Erfolg), die existierte Seite Sinn und keine Fehler wurden auf die erzeugte anfordern.

Wenn Sie nicht vertraut mit diesem Log-Format sind, empfehle ich einige Zeit verbringen diese große Einführung in die verschiedenen Protokollformate zu lesen. Ich empfehle auch öfter auf Ihre Protokolle suchen, da sie viel Sichtbarkeit schaffen, was mit Ihrer Website geschieht.

Sie finden Ihre Protokolle und Sie verstehen, wie sie aussehen, perfekt!

Die Frage ist nun, wie Sie Sinn aller Daten machen Sie? Dies wird über vor allem, weil, im Gegensatz zu dem obigen Beispiel, wo wir eine Protokollzeile hatten, wenn Sie Ihre Log-Datei öffnen, die Sie wahrscheinlich Tausende, sogar Millionen von Anfragen in einer Datei zu finden. Das ist genug, um selbst die Mächtigsten der forensischen Analysten abzubringen. Deshalb müssen wir lernen, wie zu analysieren und die Daten zu analysieren, um Informationen, die wir in einer umsetzbare Weise erfordern abzusaugen.

Wir haben zu suchen, worauf es ankommt, entfernen Sie den Lärm und versuchen, Partner zu identifizieren, die uns einen Hinweis geben auf das, was passiert ist.

Wegen des Lärms, müssen wir all die Dinge herauszufiltern, die nicht gilt. Unabhängig davon, was wir denken, fast jede Website hat ein ähnliches Muster, das uns zu bauen ein Profil von Dingen helfen kann, zu ignorieren und Dinge zu konzentrieren.

Zum Beispiel fordert „/“ an. oder die oben auf der Seite. Jeder Besucher ist wahrscheinlich, dass zu treffen, und je mehr Verkehr Sie haben Sie können sich vorstellen, wie viele dieser Zeilen, die Sie in Ihren Protokollen finden. So wollen wir Dinge wie das abzustreifen, oder Dinge wie CSS oder JS-Dateien auf jede Anforderung geladen werden. Das ist alles, vor allem Lärm und leicht genug, um zu filtern. Wenn Sie ein Terminal-Aussenseiter sind, können Sie Befehle wie grep verwenden, um Ihre Protokolle zu sehen durch diese unnötigen Einträge zu entfernen:

In dem obigen Beispiel gestrippt wir alle Js. css. png. jpg und JPG-Dateitypen von der Anzeige. An einem durchschnittlichen Standort, wird die Anzahl der Linien geschnitten um mehr als 60% zu inspizieren. Sie können auch einfache Besuche auf Ihre Hauptseite abzustreifen, um mehr als 80% die Anzahl der Linien schneiden:

In diesem Beispiel ignorierte ich die „/“ Anfragen, die / Kontakt und die / Anmeldeseiten. Je nach Ihrer Website, werden Sie nur ein paar hundert Logzeilen durchmüssen, auf jeden Fall viel besser als das, was Sie ursprünglich mit gestartet.

Wenn aus irgendeinem Grund immer noch Sie Tausende von Anfragen haben, dann wollen wir machen einige Annahmen starten und unsere Filter einzustellen. Es könnte besser sein, Ihre Anfragen zu bestimmten Aktivitäten zu filtern, die Sie verdienen wissen, Inspektion, einschließlich;

  1. POST-Anfragen.
  2. Anträge auf Admin-Seiten.
  3. Anfragen an Nicht-Standard-Standorten.

Das kann leicht durch Modifizierung unseres grep Befehls oben, um nur Anfragen an „| wp-login | wp-admin POST /“ erfolgen:

Das senkt im Allgemeinen die Anzahl der Zeilen von 1 / 200th, viel leichter zu analysieren. Wenn Sie die IP-Adressen der Administratoren der Website kennen, können Sie sie entfernen auch (wir haben 1.2.3.4 und 1.2.3.5 als Beispiele):

Oben haben wir ein paar Schritte geteilt, um Sie durch Ihre Daten zu verstehen und analysieren. Doch wie wenden wir dies und es aufschlussreich machen?

Wir wollen mit Ihnen eine aktuelle Übung teilen wir mit einem unserer Kunden gingen durch. Der Kunde war auf Wordpress, wurden sie kompromittiert und sie hatten die gleiche Frage, die jeder hat; Wie habe ich gehackt? Im Folgenden wird wahrscheinlich ein bisschen mehr technischer Art sein und wird einige Kommandozeilen-Kenntnisse erfordern, aber es sollte nicht für die technisch geneigt zu schlecht sein. Für diejenigen, die es nicht sind, haben keine Sorgen, dass, warum Sie uns.

Das erste, was wir taten, war Aggregat alle Protokolle in einer Datei, für unsere geistige Gesundheit:

Dies machte 1.071.201 Zeilen von Protokollen. wie von WC angezeigt wird; dies bedeutet, dass wir die Analyse würden Tricks oben, um es durch diese Daten von Weihnachten nutzen müssen.

Zuerst suchten wir nach POST-Anfragen an wp-login:

Wir entfernten unsere Client-IP-Adresse und die Ergebnisse waren eigentlich nur eine Zeile von Log von 188.163.91.92 (eine ukrainischen IP-Adresse).

Natürlich könnte es gewesen, einen falsch positiv oder einen Brute-Force-Versuch, aber wenn der Benutzer wp-admin nach der wp-login besucht, bedeutet seine Anmeldung erfolgreich:

Warte kurz! Ich denke, dass wir hier etwas gefunden. Das IP aus der Ukraine tatsächlich wp-admin nach dem Einloggen zugegriffen und ging direkt zum Thema Editor. Das ist eine große rote Fahne für uns und ist ein offensichtlicher Indikator wert Aufmerksamkeit auf, zumal der Website-Eigentümer lebt in den USA und hat keinen Remote-Beiträger. Wir müssen graben, obwohl tiefer. Jetzt können wir unsere grep mit dem Schnitt Befehl mischen in einem einfacheren Weg, um zu sehen, alle URL ist das IP zugegriffen:

Meine Güte, sehen Sie die Chronologie der Ereignisse?

Der Angreifer protokolliert in die Website über wp-login, ging zum Thema Editor und modifiziert, um die 404.php-Datei:

Danach besuchte er die 404-Datei direkt:

Was wahrscheinlich ein PHP Backdoor ist (es war). Er verwendet diese Datei eine andere Backdoor-war-wp.php zu erstellen. welche Sie sehen besuchte er später auch. Ein weiteres Beispiel dafür, wie die Angreifer nicht nur die Umwelt gefährden, aber dann Zugang zu behalten aussehen und zu kontrollieren, um sicherzustellen, dass, wenn Sie Ihre Zugangskontrollen aktualisieren sie immer noch Zugang behalten können.

Damit hatten wir genug, um mit einem hohen Maß an Vertrauen zu sagen, dass die Kunden Benutzername und Passwort kompromittiert wurden, was dem Angreifer, was sie brauchte. Der Angreifer hat dann die Nutzung ihrer Theme Editor Dateien zu ändern, so dass sie Backdoors injizieren, so dass sie die volle Kontrolle geben, auch nachdem sie ihre Anmeldeinformationen aktualisiert.

Was diese Protokolle nicht zeigen jedoch ist, wie sie das Passwort bekommen. Wir gingen ein paar Tage zurück, und sahen immer wieder versucht, die Umwelt zu gelangen, aber es ist schwer zu sagen, ob das die Ursache war oder nicht, oder wenn dieser Angreifer war einfach nur Glück.

Dies sollten Ihnen hoffentlich gibt einen sehr kleinen, einfachen, Blick in der Welt der Forensik und was es braucht. Dies sollte allerdings nicht mit Zuschreibung verwechselt werden, oder die Welt zu identifizieren WHO gehackt Sie. Das ist ein anderer Prozess alle zusammen.

Während wir über Wordpress als Beispiel verwenden, können die gleichen Dinge zu anderen Website-Technologien als auch angewandt werden.

Daniel B. Cid ist der Gründer CTO von Sucuri und auch der Gründer des Open-Source-Projekt - OSSEC HIDS. Seine Interessen reichen von Intrusion Detection, Analyse log (log-basierte Intrusion Detection), Web-basierte Malware-Forschung und sichere Entwicklung. Sie können mehr über Daniel auf seiner Seite dcid.me oder auf Twitter finden: @danielcid

Wir haben nicht mehr unterstützen Kommentare zu unseren Blogs. Wenn Sie das Gespräch fortsetzen möchten, greifen Sie mit uns via Twitter bei @sucurisecurity und @sucurilabs. Wenn Sie Empfehlungen oder Fragen haben, die mehr als 140 Zeichen benötigen, senden Sie uns bitte eine E-Mail an info@sucuri.net.

Primary Sidebar

Schau dieses Video an!

In Verbindung stehende Artikel

Web-Hosting-Australien Wordpress-Websiteeinen Web-Hosting-Service wählen kann eine verwirrende Aufgabe sein, mit so vielen Web-Hosting-Provider gibt, ähnliche Dienstleistungen anbieten. So haben wir diese Entscheidung leichter gemacht, indem die 10 besten präsentiert ...
Ipage Hosting und WordpressZuletzt aktualisiert am: 1, Januar 2017 Wenn Sie nach einem zuverlässigen Host suchen, um Ihren neuen Standort bis zu bekommen und so schnell und so billig wie möglich ausgeführt wird, gehen Sie mit Siteground. Sie bieten einen 60% Rabatt ...
Wiki mag Free Wordpress Hostingeinen Web-Hosting-Service wählen kann eine verwirrende Aufgabe sein, mit so vielen Web-Hosting-Provider gibt, ähnliche Dienstleistungen anbieten. So haben wir diese Entscheidung leichter gemacht, indem die 10 besten präsentiert ...
Amazon s3 Web-Hosting für WordpressSie können eine statische Website auf Amazon S3 hosten. Auf einer statischen Website umfassen einzelne Webseiten statische Inhalte. Sie können auch clientseitige Skripts enthalten. Im Gegensatz dazu setzt eine dynamische Webseite auf ...
Web-Hosting-nz Wordpress Blogseinen Web-Hosting-Service wählen kann eine verwirrende Aufgabe sein, mit so vielen Web-Hosting-Provider gibt, ähnliche Dienstleistungen anbieten. So haben wir diese Entscheidung leichter gemacht, indem die 10 besten präsentiert ...