Arnavut hacker wordpress hosting

Bir Servis sağlayıcıları olarak Altyapı ve Platformu'nun çoğalması ile, bugünün web sitelerinin bir çoğunun meşhur bulut içinde barındıran hiç de şaşırtıcı değil. o örgütler ve bireyler hem çabuk, kendi altyapı / sistemlerine nispeten az bir çabayla, web sitelerini dağıtmak için izin verir, çünkü bu harika. bulut içinde barındıran ilişkili verivor varken güvenlik konusunda ne bir web sitesi sahibi yapmak için izin verilen gibi (o ana bilgisayara bağlıdır ve ne sağladı özellikleri özellikle zaman, sınırlamalar da vardır, daha fazla bilgi edinmek nasıl barındıran) web sitesi güvenliğini yönetmek.

Arnavut İnternet korsanları web sitesi güvenliğini yönetmek barındırma wordpress

Örneğin, bu günlükleri, özellikle, denetim / güvenlik günlükleri şeklinde tutma ve hayati bilgi toplanmasını ile oynamak için geliyor.

Geçtiğimiz birkaç ay boyunca web siteleri kesmek almak nasıl makalelerini ve söz konusu kesmek etkilerini paylaştı. Geçen yıl, ücretsiz WordPress Güvenlik eklentisi kullanarak bir WordPress kesmek temizlemek için nasıl diseksiyon biraz zaman geçirdim. ya da sanat ne endam - Bugün, ben, özellikle adli Olay Tepki dünyasına biraz daha kazmak istiyorum.

Benim durumumda, ben bir yandan Birçok örnekte vb güvenlik duvarları, Saldırı Tespit Sistemleri (IDS), gibi onların çeşitli önleyici araçlar için yerinde etkili denetim olduğumuz Web sitesi / ortamların sayısını sayabilir, araçlar yapılandırılmış ancak günlükleri hazırlanması a.) toplanan olmayan veya b.) toplanmış, ancak, ya izlenebilir veya analiz edilir. Olay yanıta etkileri çok büyük olduğu için ne olursa olsun, bu işlerin üzücü bir durumdur.

Neyse ki, çoğu zaman güvenebilirsiniz hangi web sitesine erişim kayıtları. En sık biz en fazla 24 saat var çünkü 7 gün iyi vakası senaryo ile, çok gevşek saymak kelimesini kullanırlar. Bazıları bu biz sadece Tamam ve tam hikaye almak için yeterli sıklıkta iyi değil ne için, ancak, iyi olduğunu söyleyebilirim. Kesinlikle olsa ile çalışmaya başlamak için bir şeydir. Hakkımda bilmen gereken bir şey varsa, ben günlükleri seviyorum ki; ben yıllar önce OSSEC projesini başlatan neden aslında ve ben bir Ana Bilgisayar Saldırı Tespit Sistemi (GDA) olarak ağlarında onu istihdam etmeye teşvik neden.

Siteye Erişim Kayıtlar ve Adli Tıp - Web Sitesi Hacked oldu Nasıl Anlamak

Aşağıda, umarım anlamak ve erişim günlükleri etkisini ve önemini takdir yardımcı olmak için bir yol gösterici olacağını ve daha da önemlisi, ne görüyorsanız anlam vermeye nasıl.

biz bile başlamadan önce, erişim günlükleri bulmalıyız. Ne yazık ki, bu ancak, kolay kısmı olması gerekiyordu, her konak için farklı olabilir. nerede saklandığı konusunda emin değilseniz, lütfen ev sahibi başvurun ve onlar hızlı bir şekilde tanımlamak mümkün olmalıdır ve doğru yönde işaret. sormak en önemli sorular şunlardır:

yapabilirsiniz böylece Arnavut hacker ayrı bir konuma barındıran wordpress
  1. Benim web sitesi trafiğine yönelik erişim loglamak musunuz?
  2. Şunları yapabilirsiniz Değilse?
  3. Ne kadar süre günlükleri topluyorsun?
  4. O günlüklerine erişiminiz var mı?
  5. Nerede bu günlükleri bulabilirim?

Eğer ona olsa da, devam edin ve FTP için onlara sormak isteyebilirsiniz / SFTP de kaydeder.

Paylaşılan Ana son derece zor olabilir. cPanel tabanlı sunucular içeride günlükleri var

Ev klasöründeki / erişim-log dizini Ancak bazı sağlayıcılar 24 saat günlükleri kısıtlamak.

Eğer ziyaret ederseniz

/ Erişim-log dizini, erişim-log görmelisiniz ve dosyaları hatasız yapın. orada sadece bir dosya varsa, sadece 1 gün için günlük depolayan sağlayıcısı olarak şans muhtemeldir.

Birden sıkıştırılmış (gzip) dosyaları görürseniz, bu, mevcut günlüklerin gün daha var demektir.

Bunlar her konak aynıdır, ancak, genel olarak Linux ayarları biraz daha uzun günlüklerini tutmak varsayılan olarak çalışmak daha iyi. Eğer / var / / httpd (veya / var / log / nginx veya / var / log / apache) log gidin, büyük olasılıkla en az 7-10 gün süreyle günlükleri bulabilirsiniz.

Bu yeterli veri umarım oluştu ne için iyi bir takdir almak olacaktır.

Artık günlükleri var ve bunları indirmiş, bu harika bir haber! Şimdi ne anlama geldiklerini anlamaya var. Hatta daha deneyimli sysadmins hata yapabilir gibi, sunucu bozmadan analizinizi yapabilirsiniz yüzden ayrı bir yerde bunları kaydetmenizi tavsiye ederiz.

Sonraki adım günlükleri bakmak nasıl anlamaktır. Apache ve Nginx dahil olmak üzere çoğu web sunucuları, NCSA Ortak Günlük biçimi olarak bilinen Ortak günlüğü biçiminde Onların kayıtlarını depolamak. Birkaç bölüme ayrılmıştır:

Bu, hemen hemen tüm sen (IP_ADDRESS) geldiği yer de dahil olmak üzere web taleplerle ilgili bilmeniz gereken bilgileri, saat ve tarih, URL, boyutunu tarayıcı ve sunucu yanıt verdi nasıl (http_yanıt_kodu) verecektir.

Bu çok standart günlük formatı ve anlamak ve sentezlemek için oldukça kolaydır.

en dikkate aşağıdaki örneği ele alalım:

Biz Google'dan IP adresi 66.249.75.219 var sayfa olduğunu URL “/” Sabah 30 Haziran 9 am 2015 sunucu “200” (başarılı) döndü ziyaret etti ve hiçbir hata üzerine oluşturulduğunu görebilirsiniz istek.

Bu kayıt formatı ile aşina değilseniz, ben çeşitli günlük biçimleri için bu büyük bir giriş okurken biraz vakit öneririz. onlar web sitesi ile neler olduğu için görünürlük çok sağlayabilir gibi de daha sık günlükleri bakarak önerilir.

Eğer günlükleri bulundu ve onlar mükemmel, neye benzediklerini anlamak!

Şimdiki soru nasıl tüm verilerin mantıklı mı, olur? Eğer günlük dosyasını açarsanız biz bir günlük çizgi vardı nerede Yukarıdaki örnekte aksine, binlerce tek bir dosyada taleplerinin bile milyonlarca bulmak olasıdır, çünkü bu özellikle endişe vericidir. Bu bile adli analistlerin en güçlüsü vazgeçirmeye yeterlidir. Bu nedenle, ayrıştırmak ve biz bunu bir işleme dönüştürmek gerektiren bilgileri sifon için verileri nasıl analiz edileceğini öğrenmek zorundayız.

Biz, neyin önemli arama gürültüyü kaldırmak ve bize ne bir ipucu verecektir ortakları belirlemek için denemek zorunda.

Çünkü gürültü, biz geçerli değildir tüm şeyler filtre gerekiyor. Ne olursa olsun biz ne düşündüğünü, hemen hemen her web sitesi üzerinde durulması görmezden şeyler ve şeylerin bir profil oluşturmak bize yardımcı olabilecek benzer bir model vardır.

Örneğin, “/” talep eder. veya sayfanın üst. Her ziyaretçinin o vurmak muhtemeldir ve daha fazla trafik size sadece Günlüklerinize bulacaksınız o çizgilerin kaç hayal edebiliyorum var. Biz CSS veya JS dosyaları her istek yüklenen gibi böyle şeyler ya şeyleri şerit istiyorum. Bu, bütün çoğunlukla gürültü ve filtrelemek için yeterince kolaydır. Eğer bir terminal inek iseniz, bu gereksiz girdileri kaldırarak günlükleri görmek için grep gibi komutları kullanabilirsiniz:

Yukarıdaki örnekte, tüm js çıkardı. css. png. görüntülemesini jpg ve .jpg dosya türleri. Ortalama bir sahada, bu fazla% 60 oranında incelemek için satır sayısını kesecek. Ayrıca% 80'den fazla hat sayısını kesim, ana sayfalara basit ziyaretleri şerit olabilir:

Bu örnekte, ben “/” istekleri, / teması ve / kayıt sayfalarını görmezden geldi. Sitenize bağlı olarak, başlangıçta ile başladı olandan kesinlikle çok daha iyi geçmesi için sadece birkaç yüz günlük satırını alabilirsiniz.

nedense hala binlerce talep varsa, o zaman bazı varsayımlarda ve filtre ayarlamak başlamak istiyorum. Size de dahil olmak üzere muayene hak biliyorum, bazı etkinliklere isteklerinizi filtrelemek için daha iyi olabilir;

  1. POST istekleri.
  2. Yönetici sayfalarına istekler.
  3. Standart dışı yerlere istekler.

Bu kolayca etmek “| wp-login | wp-admin POST /” sadece gösteri isteklerine yukarıdaki grep komutunu değiştirerek yapılabilir:

Yani genel olarak analiz etmek çok daha kolay hale 1/200 hat sayısını keser. Sitenin yöneticileri IP adreslerini biliyorsanız, (biz örnek olarak 1.2.3.4 ve 1.2.3.5 kullanılan) onları da kaldırabilirsiniz:

Biz birkaç adım paylaşılan Üstü anlamanıza ve verilerinizin ayrıştırmak. Ancak, bunu nasıl uygulamak ve onu anlayışlı yapabilirim?

Sizinle müşterilerimizin biriyle geçti son bir egzersiz paylaşmak istiyorum. Müşteri, WordPress oldu onlar tehlikeye edildi ve aynı soru herkesin sahip oldu; Nasıl kesmek edildin? Aşağıdaki olasılıkla biraz daha teknik olacak ve bazı komut satırı bilgisi gerektirir, ama teknik olarak eğimli için çok kötü olmamalıdır. olmayanlar için, bizi neden olduğunu, bir kaygım yok.

yaptığımız ilk şey bizim akıl sağlığım için, bir dosya içinde tüm günlükleri agrega oldu:

Bu kütüklerden 1071201 hatları render. WC görüntülendiği gibi; Bu Noel'e kadar bu verilere boyunca bunu yapmak için yukarıdaki ayrıştırma hileler kaldıraç gerekeceği anlamına geliyor.

İlk olarak, wp-giriş için POST istekleri için baktı:

Biz müşteri IP adresi çıkarıldı ve sonuçlar aslında 188.163.91.92 (bir Ukrayna IP adresi) den günlüğünün sadece bir satır vardı.

Doğal olarak, yanlış pozitif veya bir kaba kuvvet saldırısını olabilirdi, ancak kullanıcı wp-girişten sonra wp-admin ziyaret ettiyse, bu onun giriş başarılı anlama gelir:

Bir saniye bekle! Sanırım bir şey bulduk. Ukrayna Yani IP aslında giriş yaptıktan sonra wp-admin erişilen ve tema editörü düz gittik. Bu web sitesi sahibinin ABD'de yaşayan ve hiçbir uzak katkıda bulunur, özellikle de bizim için büyük bir kırmızı bayrak ve dikkat değer bariz göstergesidir. Biz gerçi derin kazmak gerekir. Şimdi tüm URL, IP erişilen işte daha kolay bir şekilde görmek için kesilmiş komutuyla bizim grep karıştırabilirsiniz:

Tanrım, sen olayların zaman çizelgesi görüyorsunuz?

wp-giriş bilgilerini kullanarak sitenizde oturum açan saldırgan, tema editörü gitti ve 404.php dosyasını modifiye:

Ondan sonra da doğrudan 404 dosyayı ziyaret:

muhtemel bir PHP arka kapı Hangi (olarak). Başka bir arka kapı oldu-wp.php oluşturmak için bu dosyayı kullandı. Gördüğünüz hangi o da sonradan ziyaret etti. Saldırganlar sadece çevreyi tehlikeye ama sonra erişimini korumak için bakmak ve size erişim denetimlerini güncellemek eğer hala erişmeye devam edebilir sağlamak için kontrol edemez nasıl bir örnek daha.

Bunlarla sizin onun ne gerekli saldırganı vererek müşterilerin kullanıcı adı ve şifre tehlikeye olduğu güven yüksek derecede diyecek kadar vardı. Saldırgan daha sonra onlara kimlik bilgilerini güncellenen sonra bile tam kontrol vererek, onları backdoorları yerleştirmesine izin vermiş, dosyaları değiştirmek için kendi tema editörü kullandık.

Ne bu günlükleri ancak göstermedi onlar şifre var nasıl. Biz birkaç gün geri gitti ve ortamına erişmek için sürekli girişimlerde gördük ama nedeni yemek ya da değil, ya da bu saldırgan sadece şanslı olsaydı eğer söylemek zor.

Bu umutla size adli ve ne alır dünyasında çok küçük, basit, görünümü vermelidir. Gerçi ilişkilendirme ile karıştırılmamalıdır veya tanımlama Dünya Sağlık Örgütü sizi kesmek edilmemelidir. Yani hep birlikte farklı bir süreçtir.

Yukarıda örnek olarak WordPress kullanırken, aynı şeyleri aynı zamanda diğer web sitesi teknolojilerine uygulanabilir.

Daniel B. Cid Kurucu olduğu Sucuri CTO ve aynı zamanda açık kaynak projesinin kurucusu - OSSEC HIDS. Onun ilgi analizi (log tabanlı saldırı tespit), web tabanlı zararlı yazılım araştırma ve güvenli gelişmeyi log, saldırı tespit değişir. Onun Site dcid.me veya Twitter Daniel hakkında daha fazla bulabilirsiniz: @danielcid

Biz artık bloglarda yorum desteklemektedir. Eğer sohbete devam etmek istiyorsanız, @sucurisecurity ve @sucurilabs de Twitter üzerinden bizimle meşgul. Eğer öneriler veya 140'dan fazla karakterler gerektiren bir sorunuz varsa, info@sucuri.net adresine bir e-posta gönderin.

Birincil Kenar Çubuğu

Bu videoyu izle!

İlgili Makaleler

Web avustralya web sitesi wordpress hostingBir web barındırma hizmeti seçme benzer hizmetler sunan dışında bu kadar çok web barındırma sağlayıcıları, kafa karıştırıcı bir görev olabilir. Bu yüzden en iyi 10 vitrine daha kolay bu kararı yaptık ...
Ipage hosting ve wordpressSon güncellenme: Eğer yeni bir site kalkmak güvenilir bir host arayan ve olabildiğince hızlı ve mümkün olduğunca ucuz çalıştırıyorsanız 1 Ocak 2017, SiteGround ile gitmek. Onlar% 60 indirim uyguluyorlar ...
Wiki mag ücretsiz wordpress hostingBir web barındırma hizmeti seçme benzer hizmetler sunan dışında bu kadar çok web barındırma sağlayıcıları, kafa karıştırıcı bir görev olabilir. Bu yüzden en iyi 10 vitrine daha kolay bu kararı yaptık ...
Amazon s3 web barındırma wordpressSen Amazon S3 statik bir web sitesi barındırabilir. Statik bir web sitesinde, bireysel web sayfaları statik içerik bulunmaktadır. Onlar da istemci tarafı komut dosyaları içerebilir. Buna karşılık, dinamik bir web sitesi dayanıyor ...
Web nz wordpress blogları barındıranBir web barındırma hizmeti seçme benzer hizmetler sunan dışında bu kadar çok web barındırma sağlayıcıları, kafa karıştırıcı bir görev olabilir. Bu yüzden en iyi 10 vitrine daha kolay bu kararı yaptık ...