hackers albaneses de hosting wordpress

Con la proliferación de Infraestructura y Plataforma como proveedores de servicios, no es de extrañar que la mayoría de los sitios web de hoy en día es anfitrión en la nube proverbial. Esto es muy bueno porque permite a las organizaciones e individuos por igual a desplegar rápidamente sus sitios web, con relativamente poca sobrecarga en sus propios sistemas de infraestructura /. Mientras que hay tantos atributos positivos asociados a la acogida en la nube, también hay limitaciones, especialmente cuando se trata de la seguridad y lo que usted como propietario de un sitio web se les permite hacer (Depende del anfitrión y cuáles son las características que han permitido, aprender más sobre cómo gestionar la seguridad anfitriones sitio web).

hackers albaneses WordPress de alojamiento administrar la seguridad de página web

Por ejemplo, esto viene a jugar con la retención y recogida de información vital en forma de registros, registros específicamente, de auditoría / seguridad.

En los últimos meses hemos compartido una serie de artículos sobre cómo los sitios web hackeado y los impactos de dichos cortes. El año pasado, pasamos un tiempo disección de cómo limpiar un corte de WordPress usando nuestro libre plugin para WordPress de Seguridad. Hoy, quiero profundizar un poco más en el mundo de respuesta a incidentes, en concreto, la medicina forense - o el arte de averiguar lo que pasó.

En mi experiencia, puedo contar con una mano el número de sitios web / ambientes que han tenido lugar en la auditoría efectiva para sus diversas herramientas preventivas como cortafuegos, sistemas de detección de intrusiones (IDS), etc. En muchos casos, las herramientas están configurados, pero los registros o bien están a.) no ser recogido o b.) recogidos, pero no se monitorea o analizado. No obstante, es un triste estado de cosas porque los impactos a la respuesta al incidente es demasiado grande.

Afortunadamente, lo que a menudo podemos contar son los registros de acceso del sitio web. Usamos el número de palabras de manera muy informal, porque en lo más a menudo tenemos no más de 24 horas, con un mejor escenario de casos de 7 días. Algunos dirán que esto es bueno, sin embargo, por lo que hacemos es sólo aceptable y, a menudo no es suficiente para obtener la historia completa. Es definitivamente algo para empezar a trabajar con sin embargo. Si hay una cosa que debe saber acerca de mí, es que amo a los registros; en realidad es por eso que empecé el proyecto OSSEC hace muchos años y por eso animo a todos a emplearla en sus redes como un Sistema de Detección de Intrusos (HIDS) Host.

Sitio web Registros de acceso y Forense - Descripción de cómo fue hackeado su página web

A continuación, voy a proporcionar una guía para ayudar esperamos que pueda entender y apreciar el impacto y la importancia de los registros de acceso y, más importante, cómo hacer sentido de lo que está viendo.

Antes de poder empezar, usted tiene que encontrar sus registros de acceso. Desafortunadamente, esto puede ser diferente para cada host, sin embargo, se supone que es la parte fácil. Si no está seguro, donde se almacena, póngase en contacto con su anfitrión y que debe ser capaz de identificar de forma rápida y señalarle en la dirección correcta. Las preguntas más importantes que hacer son:

hackers albaneses wordpress de hosting lugar separado para que pueda

Están recogiendo los registros de acceso para el tráfico de mi sitio web?
Si no es así, ¿verdad?
¿Cuánto tiempo están recogiendo los registros de?
¿Tengo acceso a esos registros?
¿Dónde puedo encontrar esos registros?

Mientras que usted está en él, es posible que desee seguir adelante y pedirles su FTP / SFTP registra también.

los ordenadores compartidos pueden ser extremadamente difícil. servidores basados cPanel tienen los registros dentro de la

/ Directorio de acceso de registro en la carpeta de inicio, sin embargo, algunos proveedores restringen los registros a las 24 horas.

Si visita la

directorio / access-log, debería ver el acceso de registro y archivos de error-log. Si sólo hay un archivo de allí, es probable que fuera de suerte como su proveedor sólo almacena el registro durante 1 día.

Si ve varios archivos comprimidos (gzip), esto significa que tiene más días de registros disponibles.

Estos son generalmente mucho mejor para trabajar con la configuración predeterminada de Linux mantienen registros de un poco más de tiempo, sin embargo, no todos los host es el mismo. Si se desplaza a / var / log / httpd (o / var / log / nginx o / var / log / apache), es probable que pueda encontrar registros durante al menos 7-10 días.

Esto será suficiente para obtener los datos de esperar una buena apreciación de lo que ha ocurrido.

Ahora tiene sus registros y los ha descargado, que es una gran noticia! Ahora tenemos que averiguar lo que significan. Los recomiendo guardar en un lugar separado para que pueda hacer su análisis sin molestar a su servidor, ya que incluso los administradores de sistemas más experimentados pueden cometer errores.

El siguiente paso es entender cómo se ven sus registros. La mayoría de servidores web, incluyendo Apache y Nginx almacenar sus registros en formato de registro común, también conocido como el formato de registro común NCSA. Se divide en unas pocas partes:

Esto le dará casi toda la información que necesita saber con respecto a las peticiones a su sitio web, incluyendo, de donde vino (DIRECCIÓN_IP), la hora y la fecha, la dirección URL, el tamaño, el navegador y cómo su servidor respondió (HTTP_RESPONSE_CODE).

Es un formato de registro muy estándar y bastante fácil de entender y sintetizar.

Tomemos el siguiente ejemplo en consideración:

Podemos ver que la dirección IP 66.249.75.219 de Google visitó la URL “/” a las 9 de la mañana 30 de junio de 2015. El servidor devuelve un “200” (éxito), es decir, la página existido y no hay errores se generaron en el solicitud.

Si no está familiarizado con este formato de registro, recomiendo pasar algún tiempo leyendo este gran introducción a los diferentes formatos de registro. También recomiendo mirar sus registros más a menudo, ya que pueden proporcionar una gran cantidad de visibilidad a lo que está ocurriendo con su sitio web.

Encontraste sus registros y que entiende lo que parecen, perfecto!

La pregunta ahora es, ¿cómo hacer sentido de todos los datos? Esto es especialmente preocupante, ya que, a diferencia del ejemplo anterior donde tuvimos una línea de registro, si se abre el archivo de registro que es probable encontrar miles a incluso millones de solicitudes en un solo archivo. Esto es suficiente para disuadir incluso el más poderoso de los analistas forenses. Por lo tanto, tenemos que aprender cómo analizar y analizar los datos con el fin de desviar la información que requerimos de una forma procesable.

Tenemos que buscar lo que importa, eliminar el ruido y tratar de identificar a los socios que nos darán una pista de lo que sucedió.

Debido al ruido, tenemos que filtrar todas las cosas que no se aplica. Independientemente de lo que pensamos, casi todos los sitios web tiene un patrón similar que nos puede ayudar a construir un perfil de cosas para ignorar y cosas que centrarse.

Por ejemplo, las solicitudes a “/”. o la parte superior de la página. Cada visitante es probable que golpeó eso, y más el tráfico que tienen sólo puede imaginar cómo muchas de esas líneas que encontrará en sus registros. Por lo que queremos despojar cosas por el estilo, o cosas como archivos CSS o JS siendo cargados en cada petición. Todo esto es, sobre todo el ruido y lo suficientemente fácil de filtrar. Si usted es un friki de terminal, puede utilizar comandos como grep para ver sus registros mediante la eliminación de estas entradas innecesarias:

En el ejemplo anterior, nos desnudamos todos Js. css. png. jpg y archivos .jpg tipos de visualización. En un sitio promedio, se cortará el número de líneas de inspeccionar en más de un 60%. También puede despojar simples visitas a sus páginas principales, reduciendo el número de líneas en más de un 80%:

En este ejemplo, no hice caso de las solicitudes “/”, el contacto / y las páginas / Registrar. Dependiendo de su sitio, tendrá unos pocos cientos de líneas de registro que pasar, definitivamente mucho mejor que lo que originalmente comenzó.

Si por alguna razón usted todavía tiene miles de solicitudes, entonces queremos empezar a hacer algunas suposiciones y ajustar nuestros filtros. Tal vez sea mejor para filtrar sus peticiones a ciertas actividades que usted sabe que merece la inspección, incluyendo;

peticiones POST.
Las solicitudes a las páginas de administración.
Pide a ubicaciones no estándar.

Eso se puede hacer fácilmente mediante la modificación de nuestro comando grep para mostrar sólo por encima de solicitudes de “wp-admin | wp-login | POSTAL /”:

Que por lo general corta el número de líneas por 1 / 200º, haciendo mucho más fácil de analizar. Si conoce las direcciones IP de los administradores del sitio, se pueden quitar así (en el ejemplo 1.2.3.4 y 1.2.3.5 como ejemplos):

Por encima compartimos algunos pasos para ayudarle a entender y analizar a través de sus datos. Sin embargo, ¿cómo aplicamos esta perspicaz y lo hacemos?

Queremos compartir con ustedes un ejercicio reciente que hemos pasado con uno de nuestros clientes. El cliente estaba en WordPress, que se vieron comprometidas y tenían la misma pregunta cada uno tiene; ¿Cómo he cortado? El siguiente es probable que sea un poco más técnico y requerirá un poco de conocimiento de línea de comandos, pero no debe ser demasiado malo para manitas. Para aquellos que no lo son, no tienen preocupaciones, eso por lo que nos tiene.

Lo primero que hicimos fue agregado todos los registros en un archivo, para nuestra salud mental:

Esto hizo 1,071,201 líneas de registros. como se muestra por WC; esto quiere decir que tendríamos que aprovechar los trucos de análisis por encima de hacerlo a través de estos datos antes de Navidad.

En primer lugar, buscamos las solicitudes POST a wp-login:

Retiramos nuestra dirección IP del cliente y los resultados fueron en realidad una sola línea de registro de 188.163.91.92 (una dirección IP de Ucrania).

Naturalmente, podría haber sido un falso positivo o un intento de fuerza bruta, pero si el usuario ha visitado wp-admin después de la wp-login, significa que su entrada tuvo éxito:

¡Espera un segundo! Creo que hemos encontrado algo aquí. Eso IP de Ucrania en realidad accede a wp-admin tras entrar, se dirigió directamente al editor de temas. Eso es una gran bandera roja para nosotros, y es un indicador evidente pena prestar atención a, sobre todo porque el propietario del sitio web vive en los EE.UU. y no tiene colaboradores remotos. Tenemos que cavar más profundo pesar. Ahora podemos mezclar nuestra grep con el comando de corte para ver de una manera más fácil de todo es que el URL IP accede a:

Dios mío, ¿ves la línea de tiempo de los acontecimientos?

El atacante ha iniciado sesión en el sitio web a través de wp-login, fue al editor de temas y se modifica el archivo 404.php:

Después de eso, visitó el archivo 404 directamente:

Que es probable que una puerta trasera PHP (que era). Utilizó ese archivo para crear otra puerta trasera era-wp.php. que se puede ver visitó más tarde también. Otro ejemplo de cómo los atacantes no sólo ponen en peligro el medio ambiente, pero luego ven a mantener el acceso y control para asegurar que si actualiza sus controles de acceso que todavía pueden mantener el acceso.

Con esto, nos lo suficiente para decir con un alto grado de confianza en que el nombre de usuario y contraseña de los clientes se vieron comprometidas, dando al atacante lo que necesitaba. El atacante hizo uso de su Editor de temas para modificar los archivos, lo que les permite inyectar puertas traseras, dándoles un control total incluso después de que actualizan sus credenciales.

Lo que estos registros no mostraron sin embargo, es cómo consiguieron la contraseña. Volvimos unos días, y vimos los constantes intentos de acceso al medio ambiente, pero es difícil decir si eso era la causa o no, o si esto atacante fue sólo suerte.

Es de esperar que debe darle una muy pequeña, simple, vista en el mundo de la medicina forense y lo que se necesita. Esto no debe confundirse con la atribución sin embargo, o el mundo de la identificación de la OMS se cortó. Esto es un proceso totalmente diferente.

Mientras que utilizamos WordPress como un ejemplo anterior, las mismas cosas que se pueden aplicar a otras tecnologías página web también.

Daniel B. Cid es el fundador CTO de Sucuri y también el fundador del proyecto de código abierto - OSSEC HIDS. Sus intereses van desde la detección de intrusos, análisis (detección de intrusos basado en registro), la investigación de malware basado en la Web y el desarrollo de sesión seguro. Puede encontrar más información sobre Daniel en su sitio o dcid.me en Twitter: @danielcid

Ya no está permitido comentarios en nuestros blogs. Si desea continuar la conversación, comprometerse con nosotros a través de Twitter en @sucurisecurity y @sucurilabs. Si tiene preguntas o recomendaciones que requieren más de 140 caracteres, por favor enviar un correo electrónico a info@sucuri.net.

Barra lateral primaria

¡Mira este video!

Choose Hosting

Top 3

hackers albaneses de hosting wordpress

Sitio web Registros de acceso y Forense - Descripción de cómo fue hackeado su página web

Barra lateral primaria

Artículos relacionados