サーバーでフィッシングウイルスが見つかりました
最近、BELLからLinux(Debian)サーバー上のウイルスについて電話がありました。どうやらGoogleはクライアントにメールを送り、フィッシングを行っていたサーバー上にあるイタリアのデータベースを見つけました。 1時間以内にIPが見つからない場合は、IPをブロックするようベルに依頼しました。
フォルダーは「表示」と呼ばれ、その中にはindex.PHPと他のファイルの束が含まれていました。削除して大丈夫になりました。
フォルダーの権限はroot:rootでした。サイト管理者が自分のPCからファイルをアップロードしたときに追加されたと思います。しかし、ファイルの所有権はどのようにroot:rootになりますか?
このような問題を防ぐにはどうすればよいですか。役立つLinuxパッケージはありますか?
***クライアントがphpMyFaqを使用していて、「Show」フォルダが「Attachments」フォルダ内にある場合。
私のaccess.logのPS私はこれらの多くを持っています:
- 69.158.XXX.XXX - - [02/May/2011:12:32:18 -0400] "\x16\x03\x01" 501 368 "-" "-"
- 69.158.XXX.XXX - - [02/May/2011:12:32:18 -0400] "\x16\x03\x01" 501 368 "-" "-"
- 69.158.XXX.XXX - - [02/May/2011:12:32:18 -0400] "\x16\x03\x01" 501 368 "-" "-"
- 69.158.XXX.XXX - - [02/May/2011:12:32:18 -0400] "\x16\x03\x01" 501 368 "-" "-"
ここで、XXX.XXXは実際のIPです...
それは関係がありますか?これらのコードをグーグルにした後、私は常にSSLについて何かを得ます。
まず最初に:あなたmust(私は主張する、must)ハードディスクを一掃し、最初から再インストールします。システムでrootアクセスを取得する可能性のある、悪意のある攻撃者または単なるウイルスは、フォルダを追加した後も確実に停止しません。マシン自体からは検出できない方法で、1つまたは複数のバックドアがさまざまなシステムユーティリティやカーネル自体にインストールされている可能性が非常に高いです。したがって、データファイルをバックアップし、システムを再インストールし、検証を経てのみファイルをコピーして戻します(特にPHPソースファイル))。
SSL/TLS接続は、クライアントから送信された最初のメッセージから始まり、最初の3バイトが値0x16、0x03、0x01の順になるヘッダーで始まります(クライアントが TLS 1. =、これは最も一般的なケースです)。ログ行は、HTTPSサーバーであるかのように誰かがHTTPサーバーに接続しようとしたように見え、サーバーはクライアントから送信されたバイトを理解できず、適切なHTTPエラーメッセージで応答しました(おそらくクライアントはHTTPメッセージを交換するのではなく、TLS接続を確立しようとしていたため、どちらも理解できませんでした。これはおそらく無害であり、侵入の問題とはまったく無関係です。
これ以上の侵入を防ぐには、バグのないソフトウェアのみを使用する必要があります。これは、現在の地球ベースのテクノロジーでは不可能です。あなたが得ることができる最も近いのは、既知のセキュリティ修正でシステムを最新に維持することです。セキュリティ更新を毎日チェックする必要があります(Debianでは、これはapt-get update && apt-get dist-upgrade)。
私の観点からは、これは3方向の解決策です。実際、解決策は悪い言葉です...「緩和」の方がはるかに適切です。まず、@ Thomas Porninに同意し、システムをワイプする必要があると言います。そのステップの後、3つのプロングは次のようになります。
- ファイルシステムの変更についてシステムを監視します。ここでの1つの優れたオプションは tripwire です。このツールは、ベースラインを取得するために、まずクリーンなシステムで実行する必要があります(完全に新しく、新規インストールが最適です)。次に、cronジョブに基づいて、システムで指定されたファイルの変更がチェックされます。
- システムログを監視します。このようにして、将来の情報源までの紙の道筋をたどることができます。これを行う最善の方法は、SIEMソリューションを使用することです(つまり [〜#〜] ossim [〜#〜] )
- 可能な攻撃ベクトルを監視します。ある種の脆弱性スキャナーを使用してください。これは、攻撃を可能にする可能性のあるオープニングの手がかりになります。可能な解決策の1つは nessus です。
これらのすべてのツールに対して、多くのソリューションが用意されています。その他の注目すべき点として、ネットワークモニターや nagios や OrionNPM などのプロファイラーがあります。これらは、もう少し分析に使用できます。 Orionのアラート機能はわかりませんが、疑わしい接続、新しいネットワークホスト、サービス拒否攻撃、またはプロファイルを作成したいイベントがあった場合にアラートを出すことができると思います。
これは、小さな操作の場合は大変な作業のように見えますが、大きな助けになることがあります。 orionNPM以外はすべて無料のソリューションだと思います(または合法的な無料バージョンが見つかります)。
私に関する限り、他の人が信頼する貴重なデータまたはサービスがある場合、これらすべての慣行は資産管理者のデューデリジェンス(またはセキュリティ担当者、管理者、またはそのセキュリティを担当する人)の一部です。
この回答は、この種の攻撃の発生を防ぐために使用できた、または将来使用できるツールに関するものであることに注意してください。ベストプラクティスも覚えておいてください。..最新の状態に保つ、安全な通信チャネルを使用する、強力なパスワードを使用する、アカウントのアクセス許可を厳しく制御する、ログオンしているユーザーのリソースを制限するなど...
PStripwireは、ubuntu apt-getリポジトリおよび脆弱性スキャナー openVAS (ただし、 openVASの実装の問題)。
root:rootが所有するファイルは問題ありません。実際、Webアプリケーションの改ざんに問題がある場合は、chown root:root -R /var/wwwを実行することで、侵害されたアプリケーションがファイルの権限を変更するのを防ぐことができます。 rootの所有権とともにchmod -R 555 . /var/wwwを実行することは素晴らしいアイデアです。これらの権限により、PHPベースのウイルスがWebアプリケーションを改ざんすることは不可能になります。
問題の根本はあなたのウェブアプリケーションに脆弱性があるということですが。 攻撃に対して脆弱 である古いアプリケーションまたはライブラリを使用している可能性があります。