Domanda:
Dati di ripristino VPS brutalizzati ora disponibili. Considerazioni?
Preston Bennett
2018-03-05 00:27:01 UTC
view on stackexchange narkive permalink

Storia
I miei siti e VPS mi sono stati rubati. La società di hosting e io eravamo bloccati e non potevamo accedervi. Non sono stati in grado di creare una password temporanea per l'accesso perché l'autore dell'attacco l'ha bloccata. L'ultima volta che sono stato connesso a WHM, è stato preso il controllo di root e tutti gli HDD non erano più avviabili. Credo che la stessa persona abbia utilizzato un worm per monitorare il mio desktop da remoto. 5 PC e 5 dispositivi mobili, bloccando il mio router ddwrt r7000 con Killswitched PIA VPN. Una dozzina o giù di lì vms mint / ubuntu sono state rilevate. Molte unità USB sono state create per essere di sola scrittura. Ho smesso di cercare di capire cosa stava succedendo e ho riformattato tutti i dispositivi.

Ora sto aspettando l'immagine del server e un'istantanea della memoria, oltre a una copia rsync. Al momento della transazione otterrò una nuova immagine del server ... sicuramente di un IP diverso, a meno che non siano convinti.

Ecco l'email che ho ricevuto oggi:

Blockquote Questo biglietto mi è stato appena assegnato. Ho fatto un backup dell'account> fuori dai processi di backup qui.

[25-03-2018] pkgacct completato

Stavo leggendo alcune delle conversazioni e vorremmo solo assicurarci di essere sulla stessa pagina.

Non possiamo dd (copia bit per bit) lo stato corrente perché l'account non dispone di un supporto di memorizzazione in grado di gestire esso. Se vuoi aggiungere chiavi che possiamo rsync tramite ssh a una destinazione remota, dacci la destinazione del file di output e saremo felici di aiutarti.

Normalmente non manteniamo sistemi operativi compromessi a meno che non ci sia un interesse specifico. Quello che trovo interessante è il software openVPN:

uperior.hosting.com [home] # ifconfigas0t0 Link encap: Ethernet HWaddr inet6 addr: Scope: Link UP BROADCAST RUNNING PROMISC MULTICAST MTU: 1500 Metric: 1 RX packets : 0 errori: 0 eliminati: 0 overruns: 0 frame: 0 pacchetti TX: 436367538 errori: 0 eliminati: 504 overruns: 0 carrier: 0 collisioni: 0 txqueuelen: 200 RX byte: 0 (0,0 b) TX byte: 26310498062 (24,5 GiB)

asbr0 Link encap: Ethernet HWaddr inet addr: Bcast: Mask: inet6 addr: Scope: Link UP BROADCAST RUNNING MULTICAST MTU: 1500 Metrica: 1 pacchetti RX: 431222324 errori: 0 eliminati: 0 overruns: 0 frame: 0 TX pacchetti: 1492069 errori: 0 eliminati: 0 overruns: 0 carrier: 0 collisioni: 0 txqueuelen: 0 RX byte: 20595591150 (19,1 GiB) byte TX: 634373123 (604,9 MiB)

Se stai utilizzando questo server come server Web di produzione, ti consiglio di utilizzare CentOS 7 e installare qualcosa come "Cockpit" invece di utilizzare una VPN tramite un cPanel server su CentOS 6.

Lo scopo del nostro supporto è assicurarti di avere un percorso da e verso il server mentre recuperi i dati barebone. Concluderò con alcune opzioni e domande. (Le seguenti sono le mie risposte)

  1. Una richiesta di informazioni sull'attivit di openvpn

  2. Facendogli sapere, ancora una volta, voglio una copia dell'immagine del server, un'istantanea della memoria e tutti i log disponibili

  3. Nuova installazione di cPanel / WHM

  4. Nuovi IP per siti e VPS

  5. Informazioni SFTP

Blockquote

Dispone di una VPN, IDS, firewall, honeypot abbastanza? Ho tralasciato qualcosa?

VPS è di Bluehost, che esegue CentOS 7 con qualsiasi alternativa a WordPress ...

Domanda lunga ma essenzialmente chiedi a se sarebbe possibile creare log che non sono stati scritti in primo luogo poiché sono stati disabilitati.A meno che tu non abbia una macchina del tempo per abilitare i log prima che si verificasse l'attacco, ciò non è possibile perché significherebbe creare informazioni affidabili dal nulla.E poi l'unica altra domanda è chiedere suggerimenti in modo che non accada più: capire come è avvenuto l'attacco in primo luogo e assicurarsi che questa via (e tutte le altre) sia chiusa.Non c'è molto altro da dire poiché la tua configurazione esatta è essenzialmente sconosciuta.
Innanzitutto, dovresti ottenere una copia del tuo server compromesso, ad es.come VM o immagine disco.Quindi identifica il vettore di attacco.Una volta che ce l'hai, correggi la vulnerabilità, quindi reimmagina il tuo server, ovvero "nuotalo dall'orbita" come consigliato dal tuo provider e ridistribuisci il tuo sito web dalla fonte.Controlla il backup dei dati prima di ripristinarlo.Sebbene scomodo, un'istanza di hack non dovrebbe essere fatale se tappi i buchi in modo appropriato.Se possibile, cerca l'aiuto di esperti necessari.
Per quanto riguarda l'assicurazione del colpevole davanti alla giustizia, è un lavoro per esperti di digital forensics, e anche in questo caso non c'è alcuna garanzia di risultato.Sarei più preoccupato di tornare in attività come primo ordine o azione.
Sarebbe utile sapere di più sul sistema operativo e alcuni dettagli in più sul tuo VPS.È un VPS OpenVZ?In tal caso la radice non è la vera radice.È una VM Linux KVM?Quindi è per scopi pratici come l'hardware reale.
_WordPress su Bluehost _... Ecco perché sei stato violato.Ottieni un provider di hosting migliore.E se non stai gestendo in modo proattivo l'aggiornamento del core, dei plugin e dei temi di WordPress, ottieni un servizio che lo farà.
Come fai a sapere che è più capace di lui?Cosa ti fa pensare che questo attacco miri specificamente a te e non solo alla tua installazione wordpress obsoleta?Se la risposta è non lo so: la risposta di David sarà il tuo approccio migliore, non ha senso perdere il sonno per questo.
Fondamentalmente stai chiedendo come ottenere una formazione sull'analisi forense digitale e sulla risposta agli incidenti.Ad essere onesti, richiederebbe una risposta piuttosto lunga che non è realmente adatta per questo formato di domande e risposte.
* Quello che desidero ottenere è acquisire quante più informazioni possibili sull'hacker * Come korrigan e andrea l.già detto, non sprecare il tuo tempo su questo.Probabilmente non sei un esperto di medicina legale, sprecherai solo il tuo tempo e non dovresti mai lasciare che le tue azioni siano determinate dalla vendetta.
@ChrisNevill La lingua inglese, essendo una lingua germanica, ha necessariamente ambiguità quando si usano i pronomi e il significato dei pronomi è contestuale."Lui" è il _de rigueur_ nella scrittura moderna.È spesso usato al posto di "loro", il che può causare più confusione semantica a causa del fatto che è (ab) usato come singolare.Il pronome più comunemente usato è quindi il singolare semantico indefinito di sesso "lui".
@forest sei l'eroe che non meritiamo :-) @OP: lo bombardiamo dall'orbita!/ i la sicurezza del VPS è su di te o sulla società di hosting che te lo affitta?Questo fa una grande differenza.
@JanDoggen Non credo sia giusto suggerire che voglio che tutte le sue informazioni / CHIUNQUE gli rispondano.Un giorno, quando ci saranno tempo e denaro, pagherò qualcuno per fare il lavoro di medicina legale, quindi potrebbe essere servito un piatto d'argento all'FBI in modo che FORSE qualcun altro possa evitare di passare attraverso il casino che ho io.
Ahia.Nuke dall'orbita e impegnati nel noioso compito di mantenere ogni singolo bit del tuo server aggiornato e configurato in modo maniacale:
@Alex Cannon La mia formulazione è stata forse fuorviante su come mi sento effettivamente riguardo alla situazione.Sapevo che l'hack era molto, molto brutto e sembrava del tutto prudente non fare il breve lavoro di backup dei dati per un'analisi successiva.A dire il vero, l'attacco potrebbe non essere mai arrivato da una fonte propria dell'intruso.Comunque ... Chissà cosa potrebbe venir fuori in seguito l'analisi forense.Non avere i dati per un'analisi successiva sembra sciocco considerando la sua potenziale fattibilità.
@Andrea Lazzarotto No, per niente cercavo tecniche di analisi forense.Non c'è stata alcuna elaborazione su come procedere con tali dati, solo che lo voglio davvero.È mio da ottenere e vedere sopra.
@Preston Bennett Il problema è che tutti i dati che hanno un qualsiasi valore sono potenzialmente manomessi poiché sono stati salvati sullo stesso sistema che è stato compromesso, quindi non hanno alcun valore.Non capisco cosa intendi per "fonte dell'intruso"
@Alex Cannon Sono pienamente d'accordo sul fatto che tutti i dati rimanenti potrebbero essere pieni di informazioni fuorvianti, ad eccezione del fatto che sto operando sullo stesso sistema compromesso.Quello che intendevo per una sua fonte è uno che non rimbalza su numerosi VPS e URL di Amazon / Google e che viene trovato un IP personale.È vedere un principio attraverso quando è il momento giusto.È diventato chiaro troppo tardi che avevo passato troppo tempo a cercare di capire cosa fosse successo esattamente.Non ne vale la pena, ma qualcun altro potrebbe in seguito essere in grado di fornire prove utili.
Otto risposte:
David
2018-03-05 01:15:57 UTC
view on stackexchange narkive permalink

Inizierò con cosa fare con il tuo sistema attuale:

  1. Entra e fai un backup di tutto.
  2. A meno che tu non possa dimostrare importante perdite ($ 10.000 +), non inizierei nemmeno a pensare di coinvolgere le forze dell'ordine. Hanno le mani impegnate e, dati gli schemi attuali su Internet, è molto probabile che il tuo colpevole si trovi in ​​un paese diverso da te. Nessuno eseguirà un processo di estradizione per i siti Wordpress compromessi. (Mi dispiace, so che è difficile da sentire, ma è la realtà.)
  3. Brucia a terra il server corrente.
  4. Considera ogni password sul tuo vecchio server compromessa.

Ora, come si crea un nuovo server per evitare che ciò accada di nuovo? Farò alcune ipotesi basate su ciò che hai scritto nel tuo post:

  • Installazioni multiple di Wordpress.
  • mod_php su Apache
  • CPanel / WHM

Ecco alcuni consigli:

  1. Ottieni il tuo nuovo server.
  2. Esegui una nuova installazione delle tue applicazioni e configura Password / credenziali forti che nulla hanno a che fare con quelle vecchie.
  3. Configura SELinux per limitare il più possibile l'esposizione di ogni sito.
  4. Fai attenzione ai plugin di wordpress che installi. Hanno un track record di sicurezza molto peggiore rispetto a wordpress core.
  5. Assicurati che le directory scrivibili dal server web mai interpretino i file come PHP.
  6. Usa Autenticazione a due fattori per tutto ciò che puoi.

Senza essere in grado di eseguire analisi forensi digitali sul tuo sistema, è difficile saperlo con certezza, ma esco su un arto e indovina cosa è successo:

  1. L'attaccante esegue lo scanner alla ricerca di installazioni di Wordpress vulnerabili.
  2. L'attaccante trova Wordpress vulnerabile sul server. Ottiene RCE come server web.
  3. Esegue il dump degli hash delle password per i database wordpress.
  4. Esegue il crack degli hash delle password, uno dei quali corrisponde a una password WHM / CPanel.
  5. Entra in CPanel. Forse come amministratore, o forse la versione di CPanel aveva un bug che consente l'escalation dei privilegi all'amministratore.

Parli della paura di ritorsioni e dell'aggressore che ti insegue ancora e ancora. A meno che non sia personale (una vendetta di qualche tipo), non me ne preoccuperei. Gli aggressori come questo passeranno al loro prossimo host compromesso. Non dare loro un'altra possibilità.

Consiglierei di fare un backup COMPLETO del sistema hackerato (es. Tramite rsync -va host: / / copy_of_hacked_system --exclude / sys --exclude / proc --numeric-ids), e di fare un diff dettagliato contro il nuovo sistema,se è impostato sulla stessa versione del sistema operativo ecc., questo potrebbe già darti un'idea di ciò che è stato modificato di nascosto.
@rackandboneman Se il sistema non è stato arrestato, consiglio anche di eseguire un'istantanea della memoria completa del sistema per un'analisi successiva.Può generare un _lot_ in più rispetto a quello che troverai sul disco.
Consigli concreti sulle password: quando diciamo forte, intendiamo ** lungo e casuale **.Salvali in un database di password (potenzialmente condiviso), ma dovrebbero essere principalmente autenticatori di servizi e devono solo risiedere in un file.
Oltre a quanto sopra, assicurati di essere trasparente e avvisa i tuoi utenti che il loro account potrebbe essere stato compromesso.Non sei solo tu ad essere stato violato, tutti i tuoi utenti ora probabilmente hanno il loro indirizzo email insieme a tutte le informazioni personali che il tuo sito ha memorizzato in un database che l'attaccante utilizzerà in futuro.Tutti ** devono ** cambiare le proprie password, e non solo sul tuo sito ... Non essere quel tipo di azienda che cerca di nascondere il fatto che sei stato compromesso per mesi o anni.
Dipende se l'immagine del server che ottieni è in un formato che puoi montare e / o avviare con un supporto del sistema di ripristino collegato.
@Drunken Code Monkey Solo in questo caso sono contento di avere pochi utenti / traffico.Ho realizzato una guida alla disabilità SSA molto completa e questo tizio l'ha bloccata proprio quando i volontari stavano arrivando quando ho capito che il mio SEO e i tentativi non avrebbero reso giustizia al sito.
@David grazie mille per i dettagli e la semplicità.atforest atrackandboneman grazie mille per ulteriori indicazioni
forest
2018-03-05 09:14:02 UTC
view on stackexchange narkive permalink

La risposta di David ha fornito alcuni ottimi consigli (che consiglio vivamente di seguire). Focalizzerò invece la mia risposta sulle tue paure specifiche nella speranza di alleviarle.

Quello che voglio ottenere è acquisire quante più informazioni possibili sull'hacker. Voglio scaricare i miei backup precedenti. Voglio entrare e uscire il prima possibile.

Dici che vuoi ottenere quante più informazioni possibili su questa persona. Questo potrebbe non essere pratico se usassero una qualsiasi forma di anonimato. L'analisi post-break in è ancora importante, ovviamente. Il primo passo sarebbe fare un backup completo del disco. Se non hai già spento il sistema poiché è stato compromesso, potresti anche essere in grado di scattare un'istantanea della memoria sul sistema, rendendo possibile eseguire un'analisi forense successiva su di essa. La memoria conterrà molte più informazioni sull'aggressore in quanto non può controllare in modo affidabile ciò che rimane in memoria, mentre è molto facile impedire che informazioni preziose vengano salvate in una memoria persistente. Per questo motivo, è probabile che non sarai in grado di ottenere i registri disabilitati a meno che non esistessero già e siano stati successivamente eliminati.

Le mie precauzioni sono di rimanere dietro una VPN con killwitch e di dedicare il minor tempo possibile il più possibile.

Ci sono una serie di metodi che gli hacker possono utilizzare per ottenere l'IP originale dietro una VPN, a causa dell'architettura delle VPN. Sarebbe preferibile utilizzare Tor o una rete di anonimato simile. Trascorrere il minor tempo possibile potrebbe non essere consigliabile in quanto potresti perdere qualcosa di importante. Rimanere un po 'più a lungo non aumenta le possibilità di essere rilevato. L'hacker potrebbe persino pensare che tu sia un altro hacker che ha introdotto la stessa vulnerabilità. Se ti notano, è probabile che indipendentemente da chi pensano che tu sia, ti disconnetteranno semplicemente dal server.

I log SSH lato server, tra gli altri, probabilmente contengono comunque il tuo indirizzo di casa.

Esiste un modo per recuperare in qualche modo questi registri disabilitati? Cos'altro dovrei guardare se l'obiettivo è quello di raccogliere dati sufficienti per trasformare questo tizio in autorità?

Se i log fossero disabilitati , probabilmente non puoi recuperarli. Se erano ancora scritti ma semplicemente cancellati, potresti essere in grado di recuperarli dallo spazio del filesystem non allocato. A meno che il sistema non si sia spento dopo la compromissione e tu non sia in grado di acquisire un'istantanea completa della memoria del sistema, è improbabile che tu possa recuperare le informazioni fornite nei log.

Come ha già detto David, probabilmente non otterrai molto dal coinvolgimento delle forze dell'ordine. Il meglio che puoi ottenere dall'ottenere queste informazioni è sapere di più su come l'hacker è entrato, permettendoti di chiudere il buco che ha sfruttato ed evitarlo in futuro.

La mia paura è che, anche con un server reimaging e tutto l'hardening di cui sono capace, questo ragazzo conosce i domini del mio sito e probabilmente attaccherà di nuovo. Suppongo che questa dovrebbe essere una domanda a parte, ma dovrei prepararmi a dover rinunciare del tutto ai miei domini a causa del suo livello di abilità? Odio farlo, ma temo che farà tutto il possibile per distruggere di nuovo il server ei siti, quindi procedere come prima alla distruzione della mia rete domestica e di tutti i dispositivi.

Onestamente, non devi preoccuparti delle ritorsioni. Sei solo una garanzia casuale delle loro attività, non una vittima accuratamente selezionata. Probabilmente non ricorderanno nemmeno il tuo dominio in una settimana. Ovviamente queste sono generalizzazioni, e se hai un vero nemico con una vendetta personale contro di te, le cose sono un po 'diverse. Ci sono alcune possibili classificazioni che potrebbero adattarsi al tuo aggressore:

  • Curioso : un hacker che si intromette in un sito perché è curioso o desidera migliorare le proprie capacità di hacking lo farà spesso con poco riguardo per i risultati delle proprie azioni, non per prenderti. Se li blocchi fuori, potrebbero voler trovare un modo per rientrare, ma probabilmente non si arrabbieranno. Potrebbero persino vederlo come una sfida.

  • Criminale : un hacker puramente criminale ha qualcosa da guadagnare attaccando i server, come denaro o risorse digitali . Non sprecheranno tempo con la vendetta. Questi aggressori sono come l'acqua. Cercano il percorso di minor resistenza.

  • Automatizzato : è assolutamente possibile che nessuna persona abbia attaccato il tuo sito. Un'impresa criminale vuole massimizzare i profitti, quindi per essere più efficiente, spesso automatizza gli attacchi. Uno script può eseguire la scansione di Internet alla ricerca di servizi vulnerabili e attaccarli. Dopo l'irruzione, farà il lavoro sporco e tenterà di stabilire la persistenza. Non puoi far arrabbiare uno script.

  • Script kiddie - Uno script kiddie è un hacker giovane che pensa di sapere tutto. È più probabile che cerchino vendetta perché potrebbero ritenere personale l'atto di recuperare il tuo server. Non hanno le competenze necessarie per arrecare danni reali alla tua rete domestica. Il peggio che possono fare è tentare di attaccarti. Non preoccuparti per loro.

  • Nemico personale - Se hai un vero nemico con una vendetta personale contro di te, hai più di cui preoccuparti . Dato che non hai fornito alcuna indicazione che questo sia il caso, presumo che non lo sia.

È probabile che i suoi livelli di abilità non siano così alti come pensi. Entrare in un sito Wordpress e aggiungere una backdoor non richiede un professionista. In quanto tale, non mi preoccuperei di sbarazzarmi dei tuoi domini. È assolutamente possibile proteggersi da questo hacker utilizzando i consigli forniti in un'altra risposta. Non appena il sito di qualcun altro diventa più vulnerabile del tuo, un hacker va avanti.

Non definirei gli script kiddies "hacker" perché è come chiamare elettricista qualcuno che può installare una lampadina.La maggior parte delle volte eseguono solo script e alimentano manualmente gli output ad altri script, forse con un po 'di utilizzo manuale dell'FTP. Se tieni il passo con le tue patch di sicurezza e non fai qualcosa di troppo stupido, gli script kiddies sono raramenteproblema.
"Ci sono una serie di metodi che gli hacker possono utilizzare per ottenere l'IP originale dietro una VPN" Forest, la mia comprensione delle VPN è che i provider di servizi Internet possono trovare il tuo vero indirizzo IP ma altri siti Web e utenti non possono.Come farebbe un hacker a trovare il tuo vero IP?Potresti fornire un link di un esempio?Grazie.
È sbagliato associare un atteggiamento "script kiddie" a un livello di abilità "script kiddie".Non c'è alcuna garanzia che qualcuno con più abilità abbia un atteggiamento più maturo.
@wizzwizz4 Si noti che a volte le leggi locali e / o le normative sulla proprietà stabiliscono che solo gli elettricisti autorizzati (a volte anche solo quelli appartenenti al sindacato) possono installare lampadine.Questo è stato il caso in alcune parti dell'Australia fino al 1998, e potrebbe ancora essere il caso in determinati ambienti, come fiere, ospedali e alcuni spazi di vita condivisi.
@LateralTerminal In generale, una VPN ti mette in un pool con un numero di altre persone nello stesso NAT (poiché è così che funzionano le VPN).Queste altre persone possono quindi spesso vederti attraverso un indirizzo locale che consente loro di inviare sonde netbios o talvolta persino connettersi ai servizi sul tuo computer.PIA in particolare è vulnerabile a questo perché non isola i singoli utenti l'uno dall'altro.Puoi anche utilizzare lsrr per ottenere il vero indirizzo di qualcuno a causa dell'hardware utilizzato da molte VPN commerciali.Inoltre c'è sempre il problema dell'impronta digitale dello stack TCP / IP che funziona tramite VPN.
@PrestonBennett Qualcuno che attacca così tanti dispositivi implica un attaccante molto dedicato che ha una vendetta contro di te.A proposito, Kali stessa è molto insicura.Non usarlo se qualcuno sta cercando di attaccarti.
@forest Potresti fornire un collegamento che lo spieghi in modo che io possa effettuare ulteriori ricerche?Ti credo, ma vorrei una citazione, per favore.:)
@LateralTerminal Non ci sono molte informazioni disponibili in linea.La pagina per [p0f] (http://lcamtuf.coredump.cx/p0f) fornisce alcune informazioni sul fingerprinting TCP / IP.Il resto l'ho ottenuto da una conversazione con HD Moore.Sembra che, poiché i ricercatori di sicurezza non usano spesso VPN per la "privacy" (nota che "privato" in Virtual Private Network si riferisce a indirizzi riservati IANA, non "privacy"), ci sono pochi incentivi per loro a fare molte ricerchesu di esso nonostante sia usato abbastanza spesso dai laici.Ti suggerisco di guardare attraverso il framework Metasploit per gli strumenti relativi a lsrr.
Sono sicuro che se lo contatti ti darà più dettagli di quanto posso.Ha detto che non voleva scrivere un post sul blog pubblico o un articolo simile perché sostiene che le VPN sono olio di serpente e non vuole dare alcun consiglio alle società VPN commerciali (se ricordo cosa ha detto correttamente), anche se non lo ècome questi implicano qualsiasi 0days o tecniche segrete.Richiede solo un'ottima conoscenza del networking.
@PrestonBennett Queste informazioni di base sono piuttosto rilevanti per questa situazione e aiutano a distinguere "qualcuno ha una vendetta contro di me, come gestisco questo aspetto" e "Sono stato violato per la prima volta in assoluto e attualmente sono nel panico"(in quest'ultimo caso, preoccuparsi di VPN / ecc. durante il ripristino del server è probabilmente eccessivo, quindi questa _è_ una distinzione rilevante).Suggerirei sicuramente di modificarne un po 'nella domanda originale, per fornire un contesto!
@forest è abbastanza sconcertante, anche se non del tutto sorprendente.Tutto quello che sapevo era che se la tua CPU è di proprietà, le notifiche push di Win rendono la tua VPN inutile.Potrei sbagliarmi.solo l'insistenza di una fonte valida.Ho cercato per sempre sul sito con l'enorme documento .xls che delinea tutte le VPN, le loro giurisdizioni, ecc.E PIA e un altro che mi sfugge mi ha colpito come il migliore.Hai un suggerimento per la futura sostituzione di PIA?
@PrestonBennett La cosa migliore a cui riesco a pensare sarebbe configurare la tua VPN su un VPS (da allora se non la condividi, non rischierai di far trapelare informazioni ad altri utenti).Se non è possibile, forse Mullvad?Almeno il proprietario di quella VPN è un pentester e probabilmente conosce questi problemi.
Alex Cannon
2018-03-05 01:38:54 UTC
view on stackexchange narkive permalink

In questo caso non sai come è riuscito a entrare l'aggressore, quindi hai ragione a preoccuparti che la stessa identica cosa accadrà di nuovo anche se esegui una reinstallazione completa. Per affrontare questo problema, è necessario configurare il sistema per la registrazione remota. Un computer separato dedicato salva i registri di sistema che non possono essere manomessi. È necessario configurare il registro di accesso del server Web per inviare una copia in tempo reale al server di registrazione e qualsiasi cosa relativa alla sicurezza, oltre al normale registro di sistema. I registri dovrebbero essere separati in modo che se uno diventa troppo grande e deve essere ridotto, non influirà sugli altri.

Non sai come sono entrati. Il tuo computer potrebbe essere compromesso e la password potrebbe essere stata intercettata. Qualcuno del provider VPS potrebbe avervi accesso, oppure qualcuno che noleggiava un altro VPS accanto al tuo potrebbe aver sfruttato qualcosa. Supponendo che queste cose non siano accadute, il passo successivo potrebbe essere quello di garantire che tutto ciò che è vulnerabile sia aggiornato sulla nuova installazione, quindi configurare il software di sicurezza come SELinux. Assicurati che le violazioni delle policy di SELinux vengano inviate al server di registrazione remoto.

Grazie per il tuo contributo.La registrazione remota sarà sicuramente implementata.
Mark E. Haase
2018-03-05 21:19:58 UTC
view on stackexchange narkive permalink

Le mie precauzioni sono di rimanere dietro a una vpn killswitched e di passarci il minor tempo possibile.

Questo è infosec voodoo. Supponendo che tu sia dietro un router con PAT, l'attaccante non avrà modo di riconnettersi a te. In effetti, la VPN crea un tunnel attraverso il livello PAT, quindi stai effettivamente aumentando la tua esposizione usandolo! (Sebbene la politica VPN possa impedire le connessioni in entrata.)

Il rischio molto maggiore è che se l'aggressore ha ancora accesso al sistema compromesso, digitare la tua password è pericoloso, ad esempio login interattivo SSH o password sudo potrebbe essere rubato da un utente root sul sistema compromesso. Se hai configurato l'autenticazione con chiave pubblica, allora sarebbe sicuro da usare fintanto che non usi sudo, tuttavia vedi la mia nota sotto sui backup ...

La migliore pratica è rimuovere l'hard guidare dalla macchina compromessa e analizzarla in modo forense su una macchina separata (un professionista userebbe un blocco di scrittura forense) in modo che l'aggressore non abbia la capacità di interferire.

In qualità di cliente VPS, non hai la possibilità di farlo da solo. A meno che il tuo provider non sia disposto a farlo per te (improbabile poiché interromperebbe altri tenant sullo stesso hardware), faresti meglio a eliminare il VPS e ricominciare da capo.

Spero di poterlo ottenere cosa mi serve dai backup e [snip]

I backup dovrebbero essere sempre archiviati su un sistema separato. Se i tuoi unici backup sono archiviati sul servizio compromesso, ti sei messo in una posizione molto negativa. Se devi digitare una password per accedere ai backup, l'aggressore può rubare la tua password.

Anche se non è necessario digitare una password (ad es. autenticazione con chiave pubblica), si ripristineranno i dati che sono già stati violati. Se l'attaccante ha installato una backdoor in precedenza, quella backdoor verrebbe salvata nei backup e si finirebbe per ripristinare quella backdoor sul nuovo server! Oppure, se l'aggressore ha utilizzato altri mezzi per compromettere il sistema, potrebbe aver inserito una backdoor nei tuoi backup per riottenere l'accesso dopo la nuova immagine.

C'è un modo per recuperare in qualche modo questi registri disabilitati?

Sì, è possibile recuperare i dati di registro cancellati utilizzando l'analisi forense, ma per i motivi sopra indicati, è improbabile che questa sia un'opzione disponibile per te.

In alternativa, il tuo provider potrebbe avere registri su quali indirizzi IP si connettono ai propri sistemi e potrebbe essere disposto a condividere quei dati con te se lo chiedi gentilmente.

La mia paura è che, anche con un server reimaging e tutto l'hardening di cui sono capace, questo ragazzo conosca i domini del mio sito e probabilmente attaccherà di nuovo.

Non lo sono davvero sicuro di cosa intendi per "domini". Puoi mantenere il tuo account di hosting e i nomi di dominio esistenti, supponendo che la tua password sia stata reimpostata su qualcosa di sicuro.

Lo scenario più probabile è che tu sia stato compromesso a causa di una vulnerabilità senza patch in WordPress o uno dei tuoi plugin (o codice personalizzato se ne hai scritto tu stesso). Per evitare un futuro compromesso, è necessario ricominciare da capo (non utilizzare un backup dei dati) e assicurarsi che tutte le applicazioni e i plug-in siano la versione più recente. Disattiva tutti i plugin di cui non hai assolutamente bisogno.

Sembra che tu sia un po 'sopra la tua testa. Stai gestendo software complesso da solo e non sai come si è verificato il compromesso precedente. Forse dovresti spostare il tuo sito su un provider che offra patch e sicurezza migliori, come l'hosting tramite WordPress.com, in modo che la responsabilità non sia tua al 100%.

Molte informazioni e suggerimenti utili.I tuoi sforzi sono apprezzati.Per quanto riguarda il dominio, chi ha provato a venderlo e io l'ho scoperto all'ultimo momento ... Altre alternative a wordpress.com?Ora sono più in grado di mantenere un sito sicuro ora, anche se ammetto che ci è voluto circa un mese per la rimozione della mia istanza EC3.Questo ovviamente è probabilmente dovuto a un backup manomesso, anche se ho setacciato tutte le cose ovvie.Ma no, non sono così bravo.Almeno ho riavuto il contenuto, quindi il sito destinato semplicemente ad aiutare gli altri tornerà presto.Qualche altro suggerimento di hosting?
Roman Odaisky
2018-03-05 23:53:38 UTC
view on stackexchange narkive permalink

La maggior parte dei provider di hosting rende disponibile una piccola immagine del sistema operativo (il cui scopo è facilitare l'installazione iniziale del sistema operativo quando un client desidera un sistema operativo personalizzato, o correggere errori che impediscono l'avvio del sistema operativo; generalmente chiamato "sistema di salvataggio" o qualcosa del genere) che puoi avviare e ottenere l'accesso al VPS compromesso senza mai lanciare alcun malware che gli aggressori avrebbero potuto mettere lì. Devi solo montare i tuoi volumi, copiare tutti i dati necessari ed esaminarli a tuo piacimento.

Se non puoi farlo, la tua unica preoccupazione è non concedere agli attaccanti ulteriori vettori di attacco. Non eseguire SSH su altre macchine da quella compromessa, assicurati di non utilizzare l'inoltro dell'agente SSH, l'inoltro X11 e simili. Basta tarare i file interessanti e poi scp il file tar dalla macchina locale. Oppure fai qualcosa come ssh -C root @ compromised-host cat / dev / the-root-device >compromised-root-dev.img se sai cosa fare con l'immagine.

O magari chiedi al provider di hosting di creare un'immagine del filesystem e te la invii in qualche modo (il che equivarrebbe alla stessa procedura con cui ho iniziato).

Bene, se convinci il provider di hosting a ottenere un'immagine del filesystem del tuo VPS per te, per ottenerlo avvierebbero la loro immagine del sistema operativo di salvataggio (che forse puoi fare da solo) o accedono alla macchina che contiene il VPS e leggono semplicementei dati (cosa che sicuramente non puoi), a seconda della tecnologia di virtualizzazione.
Bluehost ha lasciato cadere gravemente la palla nel fornire questa immagine per me.5 telefonate tutte a qualsiasi livello tecnico specialistico 3 e nessuna immagine mai inviata.Mai più BH.Vorrei poter provare il tuo metodo in quanto sembra essere di maggior valore potenziale e lasciare spazio per un adeguato indurimento, ecc.
TOOGAM
2018-03-05 11:26:37 UTC
view on stackexchange narkive permalink

Esiste un modo per recuperare in qualche modo questi log disabilitati?

Sì.

Se l'intera macchina virtuale è tua (e tu no condividendolo con qualcun altro), ottieni un backup dell'intera macchina virtuale. Fallo immediatamente. Ciò includerà tutti i log che la tua macchina ha.

Chiedi anche a Bluehost tutti i log rilevanti che possono fornire. Fallo immediatamente in modo che non perdano i registri. (Molti luoghi eseguiranno ciclicamente i log nel tempo, quindi assicurati che qualcuno sappia come preservare i log ritenuti potenzialmente interessanti.)

Quindi concentrati su come rendere operativa una macchina sicura. (Come menzionato da BlueHost, questo probabilmente implica un ricaricamento del sistema operativo.) Assicurati che i tuoi dati siano al sicuro. (ad esempio, se i tuoi dati includono informazioni sugli account e includono un account che l'attaccante utilizza per ottenere l'accesso, ciò non è sicuro.) Fai in modo che quella macchina sicura utilizzi i dati sicuri che apprezzi. Fai tutto questo il più velocemente possibile.

Cos'altro dovrei guardare se l'obiettivo è raccogliere dati sufficienti per trasformare questo ragazzo in autorità?

Da dove viene questo aggressore? Chi è questo aggressore?

Come osserva la foresta, è improbabile che alle "autorità" importi molto. È probabile che tu sia stato attaccato da qualche altra macchina compromessa. Pertanto, anche la persona che possiede quella macchina è una vittima e cercare di attaccare legalmente quella persona probabilmente non gioverà molto a nessuno. Quello che devi fare è cercare la persona che ha realmente iniziato l'attacco. Sfortunatamente, essendo possibili diversi metodi di reindirizzamento, molti attaccanti non sono tracciabili in modo fattibile.

La mia paura è che, anche con un server reimaging e tutto l'hardening di cui sono capace, questo ragazzo conosce i domini del mio sito e probabilmente attaccherà di nuovo.

Sì. Questa è una preoccupazione. Fino a quando la persona non viene fermata, c'è un tale potenziale. Si spera che tu riesca a prevenire i prossimi attacchi. L'istruzione e gli sforzi continui dovrebbero portarti a quel punto, si spera prima o poi. Nel frattempo, assicurati di avere backup validi e accessibili e di dormire bene la notte sapendo che puoi eseguire il ripristino dal backup.

Suppongo che questa dovrebbe essere una domanda a parte, ma dovrei prepararmi per aver dovuto rinunciare del tutto ai miei domini a causa del suo livello di abilità?

No. Non arrenderti.

Odio farlo, ma temo che farà tutto il possibile per distruggere di nuovo il server e i siti,

Ciò potrebbe accadere se non proteggi il server con maggiore successo. Cerca di passare il tempo a farlo. Inoltre, assicurati di avere buoni backup. Non fidarti solo di Bluehost. Non sto cercando di dire niente di negativo su Bluehost. Sto dicendo, non fidarti solo di una soluzione di backup, specialmente se sono previsti problemi.

quindi procedi come prima per distruggere la mia rete domestica e tutti i dispositivi.

Oh, ora è semplicemente terribile. Perché un danno a una macchina virtuale remota, eseguito su un sito di hosting professionale, influirebbe sulla tua rete domestica? Ci sono alcuni grossi problemi di sicurezza se ciò si verifica.

Ne vale la pena? È capace di fare molto di peggio di quello che ha fatto e temo ritorsioni.

Ottieni backup del tuo sito web.
Ottieni backup di dati importanti sulla tua rete domestica.

Se fai un buon lavoro, anche se il furto finisce per essere possibile (una copia di informazioni riservate potrebbe essere rubata), puoi comunque recuperare.

Penso che OP sia preoccupato che l'attaccante tenterà di distruggere la sua rete domestica per vendetta, non la sua società di hosting.
La tua risposta dà l'impressione che tu stia dicendo che i «registri disabilitati» possono essere recuperati, il che non è corretto.
OP può ottenere i log che possono contenere informazioni prima che fossero disabilitati.
trognanders
2018-03-06 11:52:15 UTC
view on stackexchange narkive permalink

Ottieni solo un'immagine dell'unità del server web. È improbabile che il montaggio su una nuova macchina virtuale causi rischi significativi. Il codice dell'unità montata non dovrebbe essere eseguito, puoi esaminare i dati a tuo piacimento.

Non è certamente sicuro connettersi a una macchina compromessa con un protocollo di accesso remoto. Sebbene i server siano sempre più disponibili a essere compromessi, il software client che si connette a un server dannoso può essere sfruttato (se esiste un exploit).

Il tentativo di ripristinare il contenuto web dal contenuto sull'unità montata è probabilmente malato consigliato. Le modifiche ai file di codice possono essere abbastanza nascoste e difficili da trovare. Usando PHP, possono facilmente fornire una backdoor alla tua prossima macchina VPS ...

Le cose nel database SQL potrebbero essere modificate per contenere codice per attaccare i visitatori del tuo sito web.

Se vuoi davvero rafforzare il tuo sito sbarazzarti di WordPress. Si stanno facendo cose meravigliose con i generatori di siti statici (Gatsby, Jekyll, ecc ...)

Grazie mille.Installa l'immagine sulla VM per un'analisi successiva.Puoi chiarire le precauzioni sul tuo desktop remoto?Il mio piano è recuperare il pass di root fornito da BH, quindi procedere a WHM (o sarà una password separata?) Per recuperare i backup e salvare copie del suo dbs.Prenderò il tuo suggerimento relativo a wordpress sotto alta consulenza.Tu o qualcuno avete una raccomandazione sui migliori generatori (so che ne avete dato 2) che possono essere utilizzati su un sito ospitato o self-hosted?Il self-hosting sembra una bestia diversa, lasciando la mia rete ulteriormente a rischio ...
@PrestonBennett La mia comprensione di WHM è che non farà nulla a meno che non avvii la macchina sfruttata (e non sia collegata a Internet, nientemeno).Questa è una cattiva idea, non farlo.Le macchine virtuali utilizzano file immagine disco che sono concettualmente equivalenti a un HDD fisico.Ottieni questa immagine disco e accedici in modo _offline_, senza mai eseguire file o avviare il sistema operativo in essa contenuto.
@PrestonBennett Di nuovo, il valore dei backup ripristinati è altamente sospetto ... probabilmente dovresti provare a utilizzare backup che non sono stati archiviati nel disco della macchina virtuale durante il periodo di sfruttamento.I log di Bluehost potrebbero aiutarti a trovare alcuni indizi sul colpevole ... ma non ci sarà nulla nell'immagine del disco vm che ti aiuterà molto.Mantieni l'immagine del disco non modificata ... che può essere una prova in seguito se convinci qualcuno a indagare.
@PrestonBennett Non sei un po 'stanco della cosa auto-ospitata in questo momento?I generatori di siti statici creano HTML semplice che puoi ospitare letteralmente ovunque.Amazon S3 sarebbe probabilmente la mia scelta.NON eseguire l'hosting di file HTML statici ... è tutto un rischio, nessuna ricompensa.Gatsby sarebbe probabilmente la mia scelta per un nuovo progetto.
@BaileyS C'è anche [Netlify] (https://www.netlify.com/), che ha un fantastico livello gratuito.(nessuna affiliazione, solo un utente felice)
@JF Isn't Netlify è un prodotto / servizio interessante ... ma diventa un po 'costoso se hai effettivamente bisogno di qualcosa per cui fanno pagare.
@Bailey S Per favore, approfondisci i vantaggi di say S3 rispetto a wordpress.Questo mi scioglie le mani per il supporto relativo alla sicurezza?Chiedo bc ho ricevuto spazzatura da BH per mesi.Se fosse stata un'altra azienda valida, questo sarebbe stato risolto all'inizio della violazione della sicurezza.
@PrestonBennett Hai esaminato i generatori di siti statici?Puoi raggiungere i tuoi obiettivi usandone uno?Usare risorse in stile IAAS (VPS, EC2, ecc ...) per ospitare WordPress significa che sei responsabile praticamente di tutto.Il pannello di controllo web e la linea del servizio clienti lo fanno sembrare sicuro e facile, ma entrambi i sentimenti sono fuorvianti.Amazon S3 (tra le altre cose) può ospitare pubblicamente file statici tramite HTTP, come quelli generati dal generatore di siti statici.Questo è più un servizio in stile PAAS, in cui Amazon è responsabile della CIA / AAA del servizio.Sono abbastanza bravi in questo.
@BaileyS Molto apprezzato.Investigherà ulteriormente.
Wayne Werner
2018-03-06 10:02:20 UTC
view on stackexchange narkive permalink

Come alcune informazioni a cui si allude qui, se hai utilizzato queste credenziali compromesse ovunque altro, devi cambiare le tue password. Preferibilmente, dovresti usare un buon strumento come Keepass o Lastpass che ti consente di proteggere un numero qualsiasi di password forti, generate e casuali e devi solo ricordare l'unica passphrase principale.

keepass è stato sfruttato nel mio sistema domestico prima che sapessi che era compromesso.Grazie per i suggerimenti.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...