hacker albanesi di hosting wordpress

Con la proliferazione di infrastrutture e Platform as a service provider, non è una sorpresa che la maggioranza dei siti web di oggi ospitano nella nuvola proverbiale. Questo è grande, perché consente alle organizzazioni e gli individui allo stesso modo di implementare rapidamente i loro siti web, con relativamente poco in testa sulle proprie infrastrutture / sistemi. Mentre ci sono così tanti attributi positivi associati di hosting nel cloud, ci sono anche dei limiti, in particolare quando si tratta di sicurezza e quello che voi come un proprietario del sito sono autorizzati a farlo (Dipende dal host e quali caratteristiche è stata attivata, saperne di più su come host gestire la vostra sicurezza del sito web).

hacker albanesi wordpress hosting di gestire la sicurezza del sito Web

Ad esempio, questo entra in gioco con ritenzione e la raccolta di informazioni vitali, sotto forma di, tronchi particolare, di controllo / sicurezza.

Nel corso degli ultimi mesi abbiamo condiviso una serie di articoli su come i siti web vengono violati e gli impatti delle suddette hack. L'anno scorso, abbiamo trascorso qualche tempo dissezione come pulire un hack WordPress utilizzando la nostra plugin per WordPress sicurezza. Oggi, voglio scavare un po 'più nel mondo di Incident Response, in particolare, medicina legale - o l'arte per capire cosa è successo.

Nella mia esperienza, posso contare su una mano il numero di siti web / ambienti che hanno avuto il controllo efficace sul posto per i loro vari strumenti di prevenzione, come i firewall, Intrusion Detection Systems (IDS), ecc In molti casi, gli strumenti sono configurati ma i registri sono o a.) non essendo raccolti o b.) raccolti, ma non essere monitorati o analizzati. Indipendentemente da ciò, si tratta di un triste stato di cose, perché gli impatti alla risposta agli incidenti è troppo grande.

Fortunatamente, ciò che possiamo spesso contare su sono log di accesso del sito web. Usiamo la parola contare molto liberamente, perché nella maggior parte dei casi non abbiamo più di 24 ore, con una migliore dei casi lo scenario di 7 giorni. Qualcuno potrebbe dire che questo è buona, tuttavia, per quello che facciamo è solo ok e spesso non è abbastanza buono per ottenere la storia completa. E 'sicuramente qualcosa per iniziare a lavorare con se. Se c'è una cosa che dovete sapere su di me, è che amo i registri; in realtà è il motivo per cui ho iniziato il progetto OSSEC molti anni fa e per questo incoraggio tutti a impiegare nelle loro reti come Host Intrusion Detection System (HIDS).

Sito registri di accesso e Forensics - Capire come il vostro sito web è stato violato

Qui di seguito, mi fornirà una guida per aiutare spera di comprendere e apprezzare l'impatto e l'importanza dei registri di accesso e, cosa ancora più importante, come dare un senso di ciò che si sta vedendo.

Prima di poter anche iniziare, dovete trovare i vostri log di accesso. Purtroppo, questo può essere diverso per ogni host, tuttavia, si suppone che sia la parte più facile. Se non sei sicuro dove è memorizzato, contattare il tuo host e dovrebbero essere in grado di identificare rapidamente e il punto è nella giusta direzione. Le questioni più importanti da porsi sono:

hacker albanesi wordpress hosting di posizione separata in modo da poter
  1. Stai raccogliendo i log di accesso per il mio traffico sito web?
  2. In caso contrario, si può?
  3. Da quanto tempo stai raccogliendo i log per?
  4. Devo accesso a tali registri?
  5. Dove posso trovare quei tronchi?

Mentre si è in esso, si potrebbe desiderare di andare avanti e chiedere il vostro FTP / SFTP registra anche.

host condivisi può essere estremamente difficile. server basati cPanel hanno i log all'interno della

/ Directory Access-Log nella cartella casa, tuttavia, alcuni fornitori di limitare i registri a 24 ore.

Se si visita il

/ Directory Access-Log, si dovrebbe vedere l'accesso-log e file di log degli errori. Se v'è un solo file in là, è probabile che fuori di fortuna come provider memorizza solo il registro per 1 giorno.

Se si vede più file compressi (gzip), questo significa che hai più giorni di registri disponibili.

Questi sono generalmente molto meglio lavorare con come le impostazioni predefinite di Linux mantengono registri per un po 'di più, però, non tutti gli host è la stessa. Se si passa a / var / log / httpd (o / var / log / nginx o / var / log / apache), si può probabilmente trovare i registri per almeno 7-10 giorni.

Questo sarà sufficiente per ottenere i dati si spera un buon apprezzamento per quanto è accaduto.

Ora avete i vostri file e aver scaricato, che è una grande notizia! Ora dobbiamo capire cosa significano. Mi consiglia di salvarli in un luogo separato in modo da poter fare la vostra analisi senza disturbare il vostro server, come anche gli amministratori di sistema più esperti possono commettere errori.

Il passo successivo è quello di capire come i log di guardare. La maggior parte dei server web, tra cui Apache e Nginx conservano le loro log in formato log comune, noto anche come il formato di registro comune NCSA. Esso è diviso in alcune parti:

Questo vi darà quasi tutte le informazioni che dovete sapere per quanto riguarda le richieste al tuo sito web tra cui, da dove proviene (INDIRIZZO_IP), l'ora e la data, l'URL, le dimensioni, il browser e come il vostro server ha risposto (HTTP_RESPONSE_CODE).

Si tratta di un formato di log molto standard e molto facile da capire e sintetizzare.

Prendiamo il seguente esempio in considerazione:

Possiamo vedere che l'indirizzo IP 66.249.75.219 dalla visita di Google l'URL “/” alle 9 del mattino 30 giugno 2015. Il server ha restituito un “200” (successo), che significa nella pagina esistito e nessun errore è stato generato sul richiesta.

Se non si ha familiarità con questo formato di registro, vi consiglio di trascorrere un po 'tempo a leggere questo grande introduzione ai vari formati di log. Raccomando anche guardando i log di più spesso, in quanto possono fornire un sacco di visibilità a ciò che sta accadendo con il tuo sito web.

Avete trovato il vostro log e si capisce che cosa assomigliano, perfetto!

La questione ora diventa, come si fa a dare un senso a tutti i dati? Ciò è particolarmente preoccupante perché, a differenza l'esempio precedente, dove abbiamo avuto una linea di registro, se si apre il file di log è molto probabile trovare migliaia a milioni di richieste anche in un unico file. Questo è sufficiente a dissuadere anche il più potente degli analisti forensi. Pertanto, dobbiamo imparare come analizzare e analizzare i dati al fine di sifone le informazioni abbiamo bisogno in modo perseguibile.

Dobbiamo cercare ciò che conta, togliere il disturbo e cercare di identificare i partner che ci daranno un suggerimento per quello che è successo.

A causa del rumore, dobbiamo filtrare tutte le cose che non si applica. Indipendentemente da ciò che pensiamo, quasi ogni sito ha uno schema simile, che ci può aiutare a costruire un profilo di cose da ignorare e le cose su cui concentrarsi.

Per esempio, le richieste di “/”. o la parte superiore della pagina. Ogni visitatore è probabile che a colpire questo, e più traffico si ha si può solo immaginare quante di quelle linee che troverete nei log. Quindi vogliamo mettere a nudo cose del genere, o cose come i file CSS o JS corso di caricamento su ogni richiesta. Questo è tutto, per lo più rumore e abbastanza facile da filtrare. Se sei un geek terminale, è possibile utilizzare i comandi come grep per vedere il vostro log rimuovendo queste voci non necessarie:

Nell'esempio di cui sopra, abbiamo spogliato tutti js. css. png. jpg e di file .jpg tipi di visualizzazione. Su un sito medio, taglierà il numero di righe da ispezionare di oltre il 60%. Si può anche togliere le visite semplici per le vostre pagine principali, tagliando il numero di linee di oltre l'80%:

In questo esempio, ho ignorato i “/” le richieste, l'/ contatto e le pagine / iscrizione. A seconda del sito, si avrà solo poche centinaia di righe di log per passare attraverso, sicuramente molto meglio di quello che originariamente iniziato con.

Se per qualche motivo avete ancora migliaia di richieste, allora noi vogliamo iniziare a fare qualche ipotesi e regolando i nostri filtri. Potrebbe essere meglio per filtrare le vostre richieste a determinate attività che sai meritare di ispezione, tra cui;

  1. richieste POST.
  2. Le richieste di pagine di amministrazione.
  3. Le richieste per posizioni non standard.

Ciò può essere fatto facilmente, modificando il nostro comando grep sopra per mostrare solo le richieste di “wp-admin | wp-login | POST /”:

Che taglia in genere il numero di linee da 1/200 °, rendendo molto più facile da analizzare. Se conoscete gli indirizzi IP degli amministratori del sito, è possibile rimuoverli così (abbiamo usato 1.2.3.4 e 1.2.3.5 come esempi):

Sopra abbiamo condiviso a pochi passi per aiutare a comprendere e analizzare attraverso i dati. Tuttavia, come possiamo applichiamo questo e renderlo penetranti?

Vogliamo condividere con voi una recente esercitazione abbiamo attraversato con uno dei nostri clienti. Il cliente era in WordPress, sono stati compromessi e hanno avuto la stessa domanda ognuno ha; Come sono arrivato violato? Di seguito sarà probabilmente un po 'più tecnico e richiede una certa conoscenza della riga di comando, ma non dovrebbe essere troppo male per il tecnicamente inclinato. Per coloro che non sono, non hanno preoccupazioni, che il motivo per cui si dispone di noi.

La prima cosa che abbiamo fatto è stato aggregato tutti i log in un unico file, per la nostra sanità mentale:

Questo ha reso 1,071,201 righe di log. come visualizzato dal wc; questo significa che avremmo dovuto sfruttare i trucchi di analisi di cui sopra per farlo attraverso questo dato entro Natale.

In primo luogo, abbiamo cercato richieste POST a wp-login:

Abbiamo rimosso il nostro indirizzo IP del client ei risultati sono stati in realtà una sola riga di log da 188.163.91.92 (un indirizzo IP ucraino).

Naturalmente, avrebbe potuto essere un falso positivo o un tentativo di forza bruta, ma se l'utente ha visitato wp-admin dopo il wp-login, significa la sua login riuscito:

Aspetta un secondo! Penso che abbiamo trovato qui qualcosa. Questo IP dall'Ucraina accede di fatto wp-admin dopo l'accesso e andato dritto al l'editor tema. Questa è una grande bandiera rossa per noi, ed è un indicatore apparente pena prestare attenzione a, tanto più che il proprietario del sito web vive negli Stati Uniti e non ha collaboratori remoti. Abbiamo bisogno di scavare più a fondo però. Ora siamo in grado di mescolare il nostro grep con il comando di taglio di vedere in un modo più semplice tutte le URL che IP accede:

Mio Dio, vedi la sequenza temporale degli eventi?

L'attaccante effettuato l'accesso al sito web tramite wp-login, è andato a l'editor tema e ha modificato il file 404.php:

Dopo di che, ha visitato direttamente il file 404:

Il che è probabile una backdoor PHP (era). Ha usato il file per creare un'altra backdoor era-wp.php. che potete vedere visitò in seguito pure. Un altro esempio di come gli attaccanti non solo compromettono l'ambiente, ma poi cercano di mantenere l'accesso e controllo per garantire che se si aggiornano i controlli di accesso possono ancora mantenere l'accesso.

Con questo, abbiamo avuto abbastanza per dire con un alto grado di fiducia che il nome utente e la password i clienti sono stati compromessi, dando l'attaccante cosa aveva bisogno. L'attaccante poi fatto uso del loro Theme Editor per modificare i file, permettendo loro di iniettare backdoor, dando loro il pieno controllo, anche dopo hanno aggiornato le loro credenziali.

Ciò che questi registri non hanno mostrato, tuttavia, è come hanno ottenuto la password. Siamo tornati un paio di giorni, e abbiamo visto costanti tentativi di accedere all'ambiente ma è difficile dire se quella fosse la causa o no, o se l'aggressore è stato solo fortunato.

Questo dovrebbe auspicabilmente dare un piccolo, semplice, vista nel mondo della medicina legale e quello che ci vuole. Questo non deve essere confuso con l'attribuzione, però, o il mondo di identificare chi si violato. Questo è un processo diverso tutti insieme.

Oltre ad utilizzare WordPress come un esempio di cui sopra, le stesse cose possono essere applicati ad altre tecnologie di siti web pure.

Daniel B. Cid è il fondatore CTO di Sucuri e anche il fondatore del progetto open source - OSSEC HIDS. I suoi interessi spaziano dal rilevamento delle intrusioni, analisi dei log (rilevamento delle intrusioni di log-based), la ricerca di malware web-based e sviluppo sicuro. È possibile trovare maggiori informazioni su Daniel sul suo sito dcid.me o su Twitter: @danielcid

Non supportiamo più commenti sui nostri blog. Se si desidera continuare la conversazione, impegnarsi con noi via Twitter a @sucurisecurity e @sucurilabs. Se avete suggerimenti o domande che richiedono più di 140 caratteri, vi preghiamo di inviarci una e-mail a info@sucuri.net.

Sidebar primaria

Guarda questo video!

Articoli Correlati

Hosting australia sito WordPressLa scelta di un servizio di web hosting può essere un compito confusione, con così tanti fornitori di web hosting là fuori, che offrono servizi simili. Così abbiamo preso questa decisione più facile mettendo in mostra i 10 migliori ...
IPage hosting e wordpressUltimo aggiornamento: 1 gennaio, 2017 Se siete alla ricerca di un host affidabile per ottenere il vostro nuovo sito attivo e funzionante più veloce e più economico possibile, andare con SiteGround. Stanno offrendo uno sconto del 60% ...
MAG wiki wordpress hosting gratuitoLa scelta di un servizio di web hosting può essere un compito confusione, con così tanti fornitori di web hosting là fuori, che offrono servizi simili. Così abbiamo preso questa decisione più facile mettendo in mostra i 10 migliori ...
Amazon S3 wordpress web hostingÈ possibile ospitare un sito web statico su Amazon S3. Su un sito web statico, pagine web individuali includono contenuti statici. Essi possono anche contenere script lato client. Al contrario, un sito web dinamico si basa su ...
Hosting blog wordpress nzLa scelta di un servizio di web hosting può essere un compito confusione, con così tanti fornitori di web hosting là fuori, che offrono servizi simili. Così abbiamo preso questa decisione più facile mettendo in mostra i 10 migliori ...