アルバニアハッカーwordpressのホスティング
サービス・プロバイダーなどのインフラストラクチャとプラットフォームの普及と、それは今日のウェブサイトの大半はことわざクラウドでホスティングされていることは驚くことではありません。それは自分自身のインフラ/システム上の比較的少ないオーバーヘッドで、同様の組織や個人がすぐに自分のウェブサイトを展開することができますので、これは素晴らしいです。クラウドでホスティングに関連付けられているので、多くの肯定的な属性がありますが、制限が、またある具体的には、セキュリティに来ると、ウェブサイトの所有者として何を行うには許可されている(それはホストに依存し、あなたが有効にしているどのような機能、より多くを学ぶとき)ホストはあなたのウェブサイトのセキュリティを管理する方法について。
例えば、これは、ログ、具体的には、監査/セキュリティログの形で保持し、重要な情報の収集と遊ぶのがでてきます。
過去数ヶ月の間、私たちはウェブサイトがハッキングを受ける方法についての記事の数と言ったハックの影響を共有しています。昨年、私たちは私たちの無料のWordPressのセキュリティー・プラグインを使用してWordPressのハックをきれいにする方法を解剖いくつかの時間を費やしました。または芸術は何が起こったのかを考え出す - 今日、私は、具体的には、フォレンジックは、インシデントレスポンスの世界に少しさらに掘り下げたいです。
私の経験では、私は一方では多くの場合など、ファイアウォール、侵入検知システム(IDS)、のような彼らの様々な予防ツールのための場所で効果的な監査を持っていたウェブサイト/環境の数をカウントすることができ、ツールが設定されますが、されているログ。)収集されないか、B。)収集ではなく、いずれかが監視または分析されます。インシデント対応への影響が大きすぎるためにかかわらず、それは事務の悲しい状態です。
幸いなことに、私たちはしばしば、ウェブサイトのアクセスログに数えることができます。最も頻繁に私達は7日の最高の例のシナリオで、せいぜい24時間を持っていないので、我々は、言葉に非常に緩くカウントを使用します。いくつかは、これは、しかし、我々は何をすべきかのために、完全な物語を得るために、多くの場合、十分に良いだけでなく、大丈夫ですとされると言うでしょう。間違いなくかかわらで作業を開始するものです。あなたが私について知っておくべき一つのことがあれば、それは私がログを愛するということです。私は何年も前にOSSECプロジェクトを開始し、なぜ私は、ホスト侵入検知システム(HIDS)として自社のネットワークでそれを採用するすべての人を励ますなぜそれが実際にあります。
ウェブサイトのアクセスログとフォレンジック - あなたのウェブサイトがハッキングされたかを理解します
以下は、私はへのガイドを提供しますうまくいけば、あなたが見ているものの意味を理解する方法を、より重要なのは、あなたがあなたのアクセスログの影響と重要性を理解し、感謝を助けると。
私たちも開始する前に、あなたはあなたのアクセスログを見つける必要があります。残念ながら、これはすべてのホストのために異なることができ、しかし、簡単な部分であると考えられます。それが格納されている場所がわからない場合は、お使いのホストに連絡し、彼らはすぐに識別することができるはず、あなたは正しい方向にポイントします。尋ねるべき最も重要な質問は以下のとおりです。
- あなたは私のウェブサイトのトラフィックのアクセスログを収集していますか?
- ない場合は、することができますか?
- どのくらいのログを収集していますか?
- 私はこれらのログへのアクセス権を持っていますか?
- どこでこれらのログを見つけるのですか?
あなたがそれでありながら、あなたは先に行くと、あまりにもあなたのFTP / SFTPのログのためにそれらをお願いする場合があります。
共有ホストは、非常に困難な場合があります。 cPanelのベースのサーバは、内部のログを持っています
ホームフォルダ内/アクセスログのディレクトリ、しかし、いくつかのプロバイダーは、24時間にログを制限します。
あなたが訪問した場合
/アクセスログのディレクトリは、アクセスログやファイルをエラーログが表示されるはずです。そこに一つだけのファイルがある場合は、あなただけの1日のログを保存し、あなたのプロバイダとして運のうち可能性があります。
あなたが複数の圧縮(gzipで)ファイルが表示された場合、これはあなたが使用可能なログのより多くの日があることを意味します。
これらは一般的により良いデフォルトのLinuxの設定は少し長いのログを保つように動作するようになっています、しかし、必ずしもすべてのホストが同じです。あなたはは/ var / log / httpdの(または/ var /ログ/ nginxのかは/ var / log / apacheの)に移動すると、あなたはおそらく、少なくとも7〜10日間のログを見つけることができます。
これがうまくいけば、発生している何のために良い評価を得るために十分なデータとなります。
あなたは今、あなたのログを持っているし、それらをダウンロードして、それは素晴らしいニュースです!今、私たちは、彼らが何を意味するかを把握する必要があります。さらに多くの経験を積んだシステム管理者が間違いを犯すことができますよう、あなたが、あなたのサーバーを乱すことなく、あなたの分析を行うことができますので、私は別の場所でそれらを保存することをお勧めします。
次のステップは、あなたのログがどのように見えるかを理解することです。 ApacheとNginxはを含むほとんどのWebサーバは、また、NCSA共通ログ形式として知られている共通ログ形式でのログを保存します。これは、いくつかの部分に分かれています。
これはあなたに、ほぼすべてのあなたはそれが(IP_ADDRESS)どこから来たのか、など、あなたのウェブサイトへの要望について知るために必要な情報、時刻と日付、URL、サイズ、ブラウザとサーバーが応答する方法(HTTP_RESPONSE_CODE)を提供します。
それは非常に標準ログフォーマットと理解し、合成することが非常に簡単です。
のを考慮に以下の例を見てみましょう:
私たちは、朝の6月30日で午前9時で、2015年のサーバは、ページが存在し、エラーが上に生成されなかったという意味、「200」(成功)を返された「/」GoogleからのIPアドレス66.249.75.219のURLを訪れたことがわかります要求。
あなたはこのログ形式に慣れていない場合、私は、さまざまなログ形式にこの偉大な導入を読んでいくつかの時間を費やしてお勧めします。彼らはあなたのウェブサイトで何が起こっているかを可視性の多くを提供できるように私はまた、より頻繁にあなたのログを見てお勧めします。
あなたのログを見つけ、あなたは、彼らがどのように見えるかを理解し、完璧!
質問は今、あなたはすべてのデータの意味を作るのですか、となり?あなたのログファイルを開いた場合、我々は1つのログ行を持っていたところ、上記の例とは異なり、あなたは何千人も1つのファイルに要求の百万ものを見つけるのはそうだ、これは特に懸念されます。これは、法医学、アナリストのでも最強を説得するのに十分です。したがって、我々は実用的な方法で、必要な情報を吸い上げるために、データを解析し、分析する方法を学ぶ必要があります。
私たちは、どのような事項検索ノイズを除去し、私たちに何が起こったのかにヒントを与えるパートナーを同定するために試してみて下さい。
ノイズのため、我々は適用されないすべてのものをフィルタリングする必要があります。かかわらず、私たちが何を考えての、ほぼすべてのウェブサイトは、焦点を当てる無視するものと物事のプロファイルを構築する私たちを助けることができると同様のパターンを有しています。
たとえば、「/」に要求します。またはページの最上部。すべての訪問者はそれをヒットする可能性があり、そしてより多くのトラフィックは、あなたがちょうどあなたがあなたのログで見つけることができますどのようにそれらの線の多くを想像することができています。だから我々はそのようなものを取り除きたい、またはCSSやJSファイルのようなものは、すべての要求にロードされています。これは、すべてのほとんどがノイズとフィルタリングするのは簡単です。あなたは、端末オタクある場合は、これらの不要なエントリを削除することによって、あなたのログを見るためにはgrepのようなコマンドを使用することができます。
上記の例では、我々はすべての.jsを剥奪しました。 CSS。 PNG。表示をJPGと.jpgファイルの種類。平均サイトには、60%以上検査する行数を削減します。また、80%以上で行数をカット、あなたのメインページへの簡単な訪問を取り除くことができます。
この例では、私は「/」を要求、/接触および/サインアップページを無視しました。サイトによっては、あなたが通過するために、あなたが最初に始めたものよりも間違いなく多くの優れたわずか数百ログの行を持つことになります。
何らかの理由であなたはまだ要求の数千人を持っている場合は、我々はいくつかの仮定を作り、私たちのフィルターを調整開始します。あなたが、などの検査を受けるに値する知っている特定の活動へのご要求をフィルタリングする方が良いかもしれません。
- POSTリクエスト。
- 管理ページへの要求。
- 非標準的な場所への要求。
それは簡単に「| WP-ログイン| WP-adminのPOST /」のみを表示する要求に上に私たちのgrepコマンドを変更することによって行うことができます。
これは、一般的に分析することが非常に簡単になって、1/200回で行数を削減します。あなたはサイトの管理者のIPアドレスを知っている場合、あなたは(私たちは例として1.2.3.4と1.2.3.5を使用)だけでなく、それらを削除することができます。
私たちは、あなたが理解し、あなたのデータを解析するのに役立ついくつかの手順を共有した上記の。しかし、どのように我々はこれを適用すると、それは洞察力の作るのですか?
私たちはあなたと私達は私達の顧客の1で通過した最近の運動を共有したいです。顧客は、ワードプレスにあった彼らが危険にさらされた、彼らは同じ質問を誰もが持っていました。どのように私は、ハッキングされたのですか?以下は、おそらく、もう少し技術的になり、いくつかのコマンドラインの知識が必要になりますが、それは技術的に傾斜のためにあまりにも悪いことではないはずです。そうでないものについては、あなたが私たちを持っている理由という、何の心配もありません。
私たちが行った最初の事は私達の健全性のために、一つのファイルにすべてのログを集計しました。
これは、ログの1071201行をレンダリング。 WCで表示されます。これは私達がクリスマスでこのデータを通してそれを作るために上記の解析トリックを活用しなければならないことを意味します。
まず、WP-ログインにPOSTリクエストを探しました:
私たちは、クライアントのIPアドレスを削除し、その結果は、実際に188.163.91.92(ウクライナIPアドレス)からのログは1行だけでした。
当然、それは偽陽性またはブルートフォースの試みだったかもしれないが、ユーザーはWP-ログイン後のwp-adminのを訪れたならば、それは彼のログインが成功を意味します。
一瞬待って!私たちはここで何かを見つけたと思います。ウクライナからのIPは実際にログインした後のwp-adminのアクセス、テーマエディタにまっすぐに行ってきました。これは、ウェブサイトの所有者は、米国に住んでいると何のリモート貢献を持っていない、特にとして、私たちのために大きな赤い旗だ、とに注意を払う価値は明白指標です。我々は、しかし深く掘るする必要があります。今、私たちはIPがアクセスされるすべてのURLのことをより簡単に確認するために、カットコマンドを使用して、私たちはgrepを混在させることができます:
私の良さは、あなたは、イベントのタイムラインを見ていますか?
WP-ログインを経由してWebサイトにログインした攻撃者は、テーマエディタに行って、404.phpファイルを変更しました:
その後、彼は直接404ファイルを訪問しました:
おそらくPHPバックドアである(それがありました)。彼は別のバックドアを作成するために、そのファイルを使用-wp.phpました。あなたが見ることができる、彼は同様に、後に訪問しました。攻撃者が環境を損なうことが、その後、あなたのアクセス制御を更新した場合、彼らはまだアクセスを維持できることを確実にするためのアクセスとコントロールを維持するために見ていないだけかの別の例。
これにより、私たちは彼女が必要なものを攻撃者を与え、顧客のユーザ名とパスワードが危険にさらされたことを高い信頼度で言うには十分でした。攻撃者は、その後、彼らが自分の資格情報を更新した後も完全な制御を与え、彼らはバックドアを注入できるように、ファイルを変更するには、そのテーマエディタを利用しました。
どのようなこれらのログは、しかし示さなかったことは、彼らはパスワードを得た方法です。私たちは数日戻って、そして環境にアクセスするには、一定の試みを見たが、それが原因したかどうか言うのは難しいですか、この攻撃者は、単に幸運だった場合。
これがうまくいけば、あなたにフォレンジックとそれが取るの世界では非常に小さく、シンプル、ビューを与える必要があります。これは、しかし帰属と混同し、または特定の世界はWHOはあなたをハッキングするべきではありません。それはすべて一緒に別のプロセスです。
私たちは、上記の例のようにワードプレスを使用していますが、同じことは、他のウェブサイトの技術にも適用することができます。
ダニエルB.シドは、創設者であります またSucuriのCTOおよびオープンソースプロジェクトの創始者 - OSSEC HIDS。彼の関心は、分析(ログベースの侵入検知)、ウェブベースのマルウェアの研究とセキュアな開発をログに記録し、侵入検知の範囲です。あなたは自分のサイトdcid.meやTwitterでダニエルについての詳細を見つけることができます。@danielcid
私たちは、もはや私たちのブログにコメントをサポートしていません。あなたが会話を継続したい場合は、@sucurisecurityと@sucurilabsにツイッターを通じて私たちに従事。あなたは140個の以上の文字を必要と提言や質問がある場合は、info@sucuri.netで私達に電子メールを送ってください。