Question:
Données de récupération VPS brutalisées maintenant disponibles. Des considérations?
Preston Bennett
2018-03-05 00:27:01 UTC
view on stackexchange narkive permalink

Backstory
Mes sites et VPS m'ont été volés. La société d'hébergement et moi avons été verrouillées et n'avons pas pu y accéder. Ils n'ont pas été en mesure de créer un mot de passe temporaire pour l'accès parce que l'attaquant l'a bloqué.La dernière fois que je me suis connecté à WHM, le contrôle racine a été pris et tous les disques durs n'étaient plus amorçables. Je pense que la même personne a utilisé un ver pour surveiller mon bureau à distance. 5 PCs et 5 appareils mobiles, brisant mon routeur ddwrt r7000 avec PIA VPN killswitched. Une douzaine de vms mint / ubuntu ont été repris. De nombreuses clés USB ont été conçues pour être en écriture uniquement. J'ai arrêté d'essayer de comprendre ce qui se passait et j'ai reformaté tous les appareils.

J'attends maintenant l'image du serveur et un instantané de la mémoire, ainsi qu'une copie rsync. Lors de la transaction, vous obtenez une nouvelle image de serveur ... certainement d'une adresse IP différente, à moins qu'ils ne soient pas convaincus.

Voici l'e-mail que j'ai reçu aujourd'hui:

Blockquote Ce ticket vient de m'être attribué. J'ai fait une sauvegarde du compte> hors du chemin des processus de sauvegarde ici.

[2018-03-25] pkgacct terminé

J'étais en train de lire certaines des conversations et aimerions simplement nous assurer que nous sommes sur la même page.

Nous ne pouvons pas dd (copie bit par bit) l'état actuel car le compte ne dispose pas d'un support de stockage capable de gérer il. Si vous souhaitez ajouter des clés que nous pouvons rsync via ssh vers une destination distante, donnez-nous simplement la destination du fichier de sortie et nous serons heureux de vous aider.

Nous ne conservons normalement pas les systèmes d'exploitation piratés à moins qu'il y ait un intérêt spécifique. Ce que je trouve intéressant, c'est le logiciel openVPN:

uperior.hosting.com [home] # ifconfigas0t0 Link encap: Ethernet HWaddr inet6 addr: Scope: Link UP BROADCAST RUNNING PROMISC MULTICAST MTU: 1500 Métrique: 1 paquets RX : 0 erreurs: 0 abandonné: 0 dépassements: 0 trame: 0 Paquets TX: 436367538 erreurs: 0 abandonné: 504 dépassements: 0 transporteur: 0 collisions: 0 txqueuelen: 200 octets RX: 0 (0,0 b) octets TX: 26310498062 (24,5 Gio)

asbr0 Link encap: Ethernet HWaddr inet addr: Bcast: Mask: inet6 addr: Scope: Link UP BROADCAST RUNNING MULTICAST MTU: 1500 Métrique: 1 Paquets RX: 431222324 erreurs: 0 abandonné: 0 dépassements: 0 trame: 0 paquets TX: 1492069 erreurs: 0 abandonné: 0 dépassements: 0 transporteur: 0 collisions: 0 txqueuelen: 0 octets RX: 20595591150 (19,1 Gio) Octets TX: 634373123 (604,9 Mio)

Si vous utilisez ce serveur comme serveur Web de production, je recommanderais d'utiliser CentOS 7 et d'installer quelque chose comme 'Cockpit' au lieu d'utiliser un VPN via un cPanel serveur sur CentOS 6.

Ce qui est dans la portée de notre support est de vous assurer que vous avez un chemin vers et depuis le serveur pendant que vous récupérez les données barebones. Je terminerai par quelques options et questions. (Voici mes réponses)

  1. Une enquête sur l'activitu openvpn

  2. En leur faisant savoir, encore une fois, je veux une copie de l'image du serveur, d'un instantané de la mémoire et de tous les journaux disponibles

  3. Nouvelle installation de cPanel / WHM

  4. De nouvelles adresses IP pour sites et VPS

  5. Informations SFTP

Blockquote

Possède un VPN, IDS, pare-feu, pot de miel suffit? Ai-je oublié quelque chose?

VPS est un de Bluehost, exécutant CentOS 7 avec une alternative à WordPress ...

Question longue mais essentiellement vous demandez s'il serait possible de créer des journaux qui n'ont pas été écrits en premier lieu car ils ont été désactivés.À moins que vous n'ayez une machine à remonter le temps pour activer les journaux avant l'attaque, cela n'est pas possible car cela signifierait créer des informations fiables à partir de rien.Et puis la seule autre question est de demander des suggestions pour que cela ne se reproduise plus: déterminez comment l'attaque s'est produite en premier lieu et assurez-vous que cette voie (et toutes les autres) est fermée.Il n'y a pas grand-chose à dire puisque votre configuration exacte est essentiellement inconnue.
Tout d'abord, vous devez obtenir une copie de votre serveur compromis, par exempleen tant que VM ou image disque.Identifiez ensuite le vecteur d'attaque.Une fois que vous l'avez, corrigez la vulnérabilité, puis re-imagez votre serveur a.k.a «nuke it from orbit» comme conseillé par votre fournisseur, et redéployez votre site Web à partir de la source.Auditez la sauvegarde des données avant de la restaurer.Bien que peu pratique, une instance de piratage ne devrait pas être fatale si vous colmatez les trous de manière appropriée.Obtenez l'aide d'un expert nécessaire si possible.
Pour ce qui est de traduire le coupable en justice, c’est le travail des experts en criminalistique numérique, et même dans ce cas, il n’y a aucune garantie de résultat.Je serais plus inquiet d’être de retour dans les affaires en tant que première commande ou action.
Il serait utile d'en savoir plus sur le système d'exploitation et plus de détails sur votre VPS.Est-ce un VPS OpenVZ?Dans ce cas, la racine n'est pas la vraie racine.S'agit-il d'une VM Linux KVM?Ensuite, c'est à des fins pratiques comme du vrai matériel.
_WordPress sur Bluehost _... C'est pourquoi vous avez été piraté.Obtenez un meilleur fournisseur d'hébergement.Et si vous ne gérez pas de manière proactive la mise à jour du noyau, des plugins et des thèmes WordPress, obtenez un service qui le fera.
Comment savez-vous qu'il est plus capable que lui?Qu'est-ce qui vous fait penser que cette attaque vous cible spécifiquement et pas seulement votre installation wordpress obsolète?Si la réponse est que je ne sais pas: la réponse de David sera votre meilleure approche, cela n'a aucun sens de perdre le sommeil.
Vous demandez essentiellement comment obtenir une formation sur la criminalistique numérique et la réponse aux incidents.Pour être honnête, cela demanderait une réponse assez longue qui n'est pas vraiment adaptée à ce format de questions / réponses.
* Ce que je souhaite accomplir est d'acquérir autant d'informations que possible sur le hacker * Comme korrigan et andrea l.déjà dit, ne perdez pas votre temps là-dessus.Vous n'êtes probablement pas un expert médico-légal, vous ne ferez que perdre votre temps et vous ne devriez jamais laisser vos actions être déterminées par la vengeance.
@ChrisNevill La langue anglaise, étant une langue germanique, a nécessairement des ambiguïtés lors de l'utilisation des pronoms, et la signification des pronoms est contextuelle."Il" est le _de rigueur_ dans l'écriture moderne.Il est souvent utilisé à la place de «ils», ce qui peut causer plus de confusion sémantique car il est (ab) utilisé comme singulier.Le pronom le plus couramment utilisé est donc le singulier sémantique à sexe indéfini «il».
@forest vous êtes le héros que nous ne méritons pas :-) @OP: nuke-le de l'orbite!/ s la sécurité du VPS est-elle sur vous ou sur la société d'hébergement qui vous le loue?Cela fait une grande différence.
@JanDoggen Je ne pense pas qu'il soit juste de suggérer que je veux que toutes ses informations / WHOEVERs lui reviennent.Un jour où il y a du temps et de l'argent Je paierai quelqu'un pour qu'il fasse un travail médico-légal afin qu'il puisse être servi sur un plateau d'argent au FBI afin que quelqu'un d'autre puisse éviter de traverser le désordre que j'ai.
Aie.Sortez-le de l'orbite et engagez-vous dans la tâche fastidieuse de garder chaque bit de votre serveur patché et configuré de manière maniaque: - /
Canon @Alex Mon libellé était peut-être trompeur quant à ce que je ressens réellement face à la situation.Je savais que le piratage était très, très mauvais et qu'il semblait tout à fait prudent de ne pas faire le court travail de sauvegarde des données pour une analyse ultérieure.À vrai dire, l'attaque peut ne jamais provenir d'une source propre à l'intrus.Tout de même - Qui sait ce que l'analyse médico-légale pourrait révéler ultérieurement.Ne pas avoir les données pour une analyse ultérieure semble insensé compte tenu de sa viabilité potentielle.
@Andrea Lazzarotto Non, je ne cherchais pas du tout des techniques d'analyse médico-légale.Il n'y a pas eu d'élaboration sur la façon de procéder avec ces données - juste que je les veux vraiment.C'est à moi d'obtenir et de voir ci-dessus.
@Preston Bennett Le problème est que toutes les données de quelque valeur que ce soit sont potentiellement altérées puisqu'elles ont été sauvegardées sur le même système qui a été compromis, donc elles sont sans valeur.Je ne comprends pas ce que vous entendez par «source propre à l'intrus»
@Alex Cannon Je suis tout à fait d'accord que toutes les données restantes pourraient être truffées d'informations trompeuses, sauf si je fonctionne sur le même système compromis.Ce que je voulais dire par une source qui lui est propre, c'est celle qui ne rebondit pas sur de nombreux VPS et les URL amazon / google et qu'une adresse IP personnelle est trouvée.C'est voir un principe à travers quand le moment est venu.Il est devenu clair trop tard que j'avais passé trop de temps à essayer de comprendre ce qui s'était exactement passé.Cela ne vaut pas la peine, mais quelqu'un d'autre pourra peut-être plus tard trouver des preuves utiles.
Huit réponses:
David
2018-03-05 01:15:57 UTC
view on stackexchange narkive permalink

Je vais commencer par ce qu'il faut faire avec votre système actuel:

  1. Entrez et faites une sauvegarde de tout.
  2. À moins que vous ne puissiez démontrer majeur pertes (10k $ +), je ne commencerais même pas à penser à impliquer les forces de l'ordre. Ils ont les mains pleines et, compte tenu des tendances actuelles sur Internet, il est fort probable que votre coupable se trouve dans un pays différent du vôtre. Personne ne va faire un processus d'extradition pour les sites Wordpress piratés. (Désolé, je sais que c'est difficile à entendre, mais c'est la réalité.)
  3. Gravez le serveur actuel au sol.
  4. Considérez que chaque mot de passe de votre ancien serveur est compromis.

Maintenant, comment construisez-vous un nouveau serveur pour éviter que cela ne se reproduise? Je vais faire quelques hypothèses basées sur ce que vous avez écrit dans votre message:

  • Plusieurs installations de Wordpress.
  • mod_php sur Apache
  • CPanel / WHM

Voici quelques recommandations:

  1. Obtenez votre nouveau serveur.
  2. Effectuez une nouvelle installation de vos applications et configurez mots de passe / identifiants forts qui n'ont rien à voir avec les anciens.
  3. Configurez SELinux pour limiter au maximum l'exposition de chaque site.
  4. Faites attention aux plugins wordpress que vous installez. Ils ont un bilan de sécurité bien pire que wordpress core.
  5. Assurez-vous que les répertoires inscriptibles par le serveur Web n'interprètent jamais les fichiers comme PHP.
  6. Utilisation Authentification à 2 facteurs pour tout ce que vous pouvez.

Sans pouvoir effectuer de criminalistique numérique sur votre système, il est difficile de le savoir avec certitude, mais je vais prendre des précautions et deviner ce qui s'est passé:

  1. L'attaquant exécute un scanner à la recherche d'installations Wordpress vulnérables.
  2. L'attaquant trouve Wordpress vulnérable sur votre serveur. Obtient RCE en tant que serveur Web.
  3. Vide les hachages de mots de passe pour les bases de données wordpress.
  4. Cracks les hachages de mots de passe, l'un d'eux correspond à un mot de passe WHM / CPanel.
  5. Accède à CPanel. Peut-être en tant qu'administrateur, ou peut-être que la version de CPanel avait un bogue qui permet d'élever les privilèges à l'administrateur.

Vous parlez de la peur des représailles et de l'attaquant qui vous poursuit encore et encore. À moins que ce ne soit personnel (une sorte de vendetta), je ne m'inquiéterais pas à ce sujet. Les attaquants comme celui-ci passeront simplement à leur prochain hôte compromis. Ne leur donnez pas une autre chance.

Je recommanderais de faire une sauvegarde complète du système piraté (par exemple via rsync -va host: / / copy_of_hacked_system --exclude / sys --exclude / proc --numeric-ids), et de faire une comparaison détaillée avec le nouveau système,s'il est installé sur la même version du système d'exploitation, etc. - cela pourrait déjà vous donner un indice sur ce qui a été subrepticement modifié.
@rackandboneman Si le système n'a pas été arrêté, je vous recommande également de faire un instantané de la mémoire complète du système pour une analyse ultérieure.Cela peut augmenter un _lot_ de plus que ce que vous trouverez sur le disque.
Conseils concrets sur les mots de passe: quand on dit fort, on entend ** long et aléatoire **.Enregistrez-les dans une base de données de mots de passe (potentiellement partagée), mais ceux-ci devraient principalement être des authentificateurs de service et ne doivent vivre que dans un fichier.
En plus de ce qui précède, assurez-vous d'être transparent et avertissez vos utilisateurs que leur compte pourrait avoir été compromis.Ce n'est pas seulement vous qui avez été piraté, tous vos utilisateurs ont probablement leur adresse e-mail ainsi que les informations personnelles que votre site stockées dans une base de données que l'attaquant utilisera à l'avenir.Tout le monde ** doit ** changer son mot de passe, et pas seulement sur votre site ... Ne soyez pas ce type d'entreprise qui essaie de cacher le fait que vous avez été compromis pendant des mois ou des années.
Cela dépend si l'image du serveur que vous obtenez est dans un format que vous pouvez monter et / ou démarrer avec un support de système de secours attaché.
@Drunken Code Monkey Ce n'est que dans cette circonstance que je suis content d'avoir eu peu d'utilisateurs / de trafic.J'ai fait un guide SSA très complet sur le handicap et ce gars l'a écrasé quand les volontaires se sont déplacés quand j'ai réalisé que mon référencement et que mes tentatives n'allaient pas rendre justice au site.
@David merci beaucoup pour le détail et la simplicité.atforest atrackandboneman merci beaucoup pour plus de conseils
forest
2018-03-05 09:14:02 UTC
view on stackexchange narkive permalink

La réponse de David a donné d'excellentes recommandations (que je vous recommande vivement de suivre). Je vais plutôt concentrer ma réponse sur vos peurs spécifiques dans l'espoir de les atténuer.

Ce que je souhaite accomplir est d'acquérir autant d'informations que possible sur le hacker. Je souhaite télécharger mes anciennes sauvegardes. Je veux entrer et sortir le plus tôt possible.

Vous dites que vous voulez obtenir le plus d'informations possible sur cette personne. Cela peut ne pas être pratique s'ils utilisent une forme quelconque d'anonymat. L’analyse post-interruption est bien entendu toujours importante. La première étape serait de faire une sauvegarde complète du disque. Si vous n'avez pas encore arrêté le système depuis qu'il a été compromis, vous pourrez peut-être également prendre un instantané de la mémoire sur le système, ce qui vous permettra d'effectuer ultérieurement une analyse médico-légale. La mémoire contiendra beaucoup plus d'informations sur l'attaquant car il ne peut pas contrôler de manière fiable ce qui reste en mémoire, alors qu'il est très facile d'empêcher l'enregistrement d'informations précieuses sur un stockage persistant. Pour cette raison, il est probable que vous ne pourrez pas obtenir les journaux désactivés à moins qu'ils n'existent déjà et aient été supprimés par la suite.

Mes précautions sont de rester derrière un vpn commuté et de passer aussi peu de temps là que possible.

Il existe un certain nombre de méthodes que les pirates peuvent utiliser pour obtenir l'IP d'origine derrière un VPN, en raison de l'architecture des VPN. L'utilisation de Tor ou d'un réseau d'anonymat similaire serait préférable. Passer le moins de temps possible peut ne pas être souhaitable car vous risquez de manquer quelque chose d'important. Rester un peu plus longtemps n'augmente pas les chances d'être détecté. Le pirate peut même penser que vous êtes un autre pirate qui a fait irruption en utilisant la même vulnérabilité. S'ils vous remarquent, peu importe qui ils pensent que vous êtes, ils vous déconnecteront simplement du serveur.

Les journaux SSH côté serveur, entre autres, contiennent probablement votre adresse personnelle de toute façon.

Existe-t-il un moyen de récupérer d'une manière ou d'une autre ces journaux désactivés? Que dois-je regarder d'autre si l'objectif est de compiler suffisamment de données pour transformer ce type en autorités?

Si les journaux ont été désactivés , vous ne pourrez probablement pas les récupérer. S'ils étaient toujours écrits mais simplement supprimés, vous pourrez peut-être les récupérer à partir de l'espace du système de fichiers non alloué. À moins que le système ne se soit arrêté depuis le compromis et que vous ne puissiez prendre un instantané complet de la mémoire du système, il est peu probable que vous puissiez récupérer les informations fournies dans les journaux.

Comme David l'a déjà mentionné, vous n'obtiendrez probablement pas grand-chose en impliquant les forces de l'ordre. Le mieux que vous puissiez obtenir en obtenant ces informations est d'en savoir plus sur la façon dont le pirate a fait irruption, ce qui vous permet de fermer le trou qu'ils ont exploité et de l'éviter à l'avenir.

Ma peur est que, même avec un serveur réimagé et tout le durcissement dont je suis capable, ce gars connaît les domaines de mon site et attaquera probablement à nouveau. Je suppose que cela devrait être une question distincte, mais dois-je me préparer à devoir abandonner complètement mes domaines en raison de son niveau de compétence? Je déteste le faire, mais j'ai peur qu'il fasse tout ce qu'il peut pour détruire à nouveau le serveur et les sites, puis procède comme avant à la destruction de mon réseau domestique et de tous les appareils.

Honnêtement, vous n'avez pas à vous soucier des représailles. Vous n'êtes qu'une garantie aléatoire de leurs activités, pas une victime soigneusement sélectionnée. Ils ne se souviendront probablement même pas de votre domaine dans une semaine. Bien sûr, ce sont des généralisations, et si vous avez un ennemi réel avec une vendetta personnelle contre vous, les choses sont un peu différentes. Il existe quelques classifications possibles qui peuvent convenir à votre attaquant:

  • Curieux - Un pirate qui s'introduit dans un site parce qu'il est curieux ou veut améliorer ses compétences en piratage le fera souvent sans se soucier des résultats de ses actions, mais il le fait pas pour vous. Si vous les verrouillez, ils voudront peut-être trouver un moyen de revenir, mais ils ne seront probablement pas en colère. Ils pourraient même y voir un défi.

  • Criminel - Un hacker purement criminel a quelque chose à gagner en attaquant des serveurs, tels que de l'argent ou des ressources numériques . Ils ne perdront pas de temps à se venger. Ces attaquants sont comme de l'eau. Ils recherchent le chemin de moindre résistance.

  • Automatisé - Il est très possible qu'aucune personne n'ait attaqué votre site. Une entreprise criminelle veut maximiser ses profits, donc pour être plus efficace, elle automatise souvent les attaques. Un script peut rechercher sur Internet des services vulnérables et les attaquer. Après son effraction, il fera son sale boulot et tentera d'établir sa persévérance. Vous ne pouvez pas mettre un script en colère.

  • Script kiddie - Un script kiddie est un hacker junior qui pense tout savoir. Ils sont plus susceptibles de chercher à se venger, car ils peuvent considérer que vous récupérez votre serveur comme personnel. Ils n'ont pas les compétences nécessaires pour nuire réellement à votre réseau domestique. Le pire qu'ils puissent faire est de tenter de vous DDoS. Ne vous inquiétez pas pour eux.

  • Ennemi personnel - Si vous avez un ennemi réel avec une vendetta personnelle contre vous, vous avez plus à vous soucier . Comme vous n’avez pas indiqué que c’était le cas, je suppose que ce n’est pas le cas.

Il y a de fortes chances que son niveau de compétence ne soit pas aussi élevé que vous le pensez. Pénétrer dans un site Wordpress et ajouter une porte dérobée ne prend pas un professionnel. En tant que tel, je ne craindrais pas de me débarrasser de vos domaines. Il est absolument possible de se protéger de ce hacker en utilisant les conseils donnés dans une autre réponse. Dès que le site de quelqu'un d'autre est plus vulnérable que le vôtre, un pirate passe à autre chose.

Je n'appellerais pas les script kiddies des «hackers» parce que c'est comme appeler quelqu'un qui peut installer une ampoule à un électricien.La plupart du temps, ils exécutent simplement des scripts et alimentent manuellement les sorties vers d'autres scripts, peut-être avec une utilisation manuelle de FTP. Si vous suivez vos correctifs de sécurité et ne faites pas quelque chose de trop stupide, les script kiddies sont rarement unproblème.
"Il existe un certain nombre de méthodes que les pirates peuvent utiliser pour obtenir l'adresse IP d'origine derrière un VPN" Forest, ma compréhension des VPN est que les fournisseurs de services Internet peuvent trouver votre véritable adresse IP, mais d'autres sites Web et utilisateurs ne le peuvent pas.Comment un hacker trouverait-il votre véritable adresse IP?Pourriez-vous fournir un lien vers un exemple?Je vous remercie.
Il est faux d'associer une attitude «script kiddie» à un niveau de compétence «script kiddie».Il n'y a aucune garantie que quelqu'un avec plus de compétences aura une attitude plus mature.
@wizzwizz4 Notez que parfois, les lois locales et / ou les règlements de propriété stipulent que seuls les électriciens agréés (parfois même ceux appartenant au syndicat) sont autorisés à installer des ampoules.C'était le cas dans certaines régions d'Australie jusqu'en 1998, et cela pourrait encore être le cas dans certains environnements, comme les salons professionnels, les hôpitaux et certains espaces de vie partagés.
@LateralTerminal En général, un VPN vous met dans un pool avec un certain nombre d'autres personnes dans le même NAT (puisque c'est ainsi que fonctionnent les VPN).Ces autres personnes peuvent alors souvent vous voir via une adresse locale leur permettant d'envoyer des sondes netbios ou parfois même de se connecter à des services sur votre ordinateur.PIA en particulier est vulnérable à cela car il n'isole pas les utilisateurs individuels les uns des autres.Vous pouvez également utiliser lsrr pour obtenir l'adresse réelle de quelqu'un en raison du matériel utilisé par de nombreux VPN commerciaux.De plus, il y a toujours le problème de l'empreinte de la pile TCP / IP qui fonctionne via les VPN.
@PrestonBennett Quelqu'un attaquant autant d'appareils implique un attaquant très dévoué qui a une vendetta contre vous.BTW, Kali lui-même est très peu sûr.Ne l'utilisez pas si quelqu'un essaie de vous attaquer.
@forest Pourriez-vous fournir un lien qui explique cela afin que je puisse faire des recherches plus approfondies?Je vous crois, mais j'aimerais une citation s'il vous plaît.:)
@LateralTerminal Il n'y a pas beaucoup d'informations disponibles à ce sujet en ligne.La page pour [p0f] (http://lcamtuf.coredump.cx/p0f) donne des informations sur l'empreinte TCP / IP.Le reste, j'ai eu une conversation avec HD Moore.Il semble que, comme les chercheurs en sécurité n'utilisent pas souvent les VPN pour la «confidentialité» (notez que «privé» dans le réseau privé virtuel se réfère aux adresses réservées par l'IANA et non à la «confidentialité»), il n'y a guère d'incitation pour eux à faire beaucoup de recherchedessus malgré son utilisation assez fréquente par le profane.Je vous suggère de parcourir le framework Metasploit pour trouver des outils liés à lsrr.
Je suis sûr que si vous le contactez, il vous donnera plus de détails que moi.Il a dit qu'il ne voulait pas écrire un article de blog public ou un article similaire parce qu'il soutient que les VPN sont de l'huile de serpent et ne veut pas donner de conseils aux entreprises VPN commerciales (si je me souviens bien de ce qu'il a dit), bien que ce ne soit pas le cas.comme ceux-ci impliquent des 0 jours ou des techniques secrètes.Cela nécessite juste une très bonne compréhension du réseautage.
@PrestonBennett Ces informations de base sont plutôt pertinentes dans cette situation et aident à distinguer «quelqu'un a une vendetta contre moi, comment puis-je gérer cet aspect» par rapport à «J'ai été piraté pour la première fois et je panique actuellement"(dans ce dernier cas, s'inquiéter des VPN / etc. lors de la restauration du serveur est probablement exagéré, c'est donc une distinction pertinente).Je suggérerais certainement d'en modifier un peu dans la question originale, pour fournir un contexte!
@forest c'est assez déconcertant, mais pas si surprenant.Tout ce que je savais, c'est que si vous possédez votre processeur, les notifications push Win rendent votre VPN inutile.Je peux me tromper.juste l'insistance d'une source viable.J'ai cherché à tout jamais sur le site avec l'énorme document .xls qui décrit tous les vpns, leurs juridictions, etc. et PIA et un autre qui m'échappe m'a frappé comme le meilleur.Avez-vous une suggestion pour le remplacement futur de PIA?
@PrestonBennett Le mieux que je puisse imaginer serait de configurer votre propre VPN sur un VPS (depuis, si vous ne le partagez pas, vous ne risquez pas de divulguer des informations à d'autres utilisateurs).Si ce n'est pas possible, alors peut-être Mullvad?Au moins, le propriétaire de ce VPN est un pentester et connaît probablement ces problèmes.
Alex Cannon
2018-03-05 01:38:54 UTC
view on stackexchange narkive permalink

Dans ce cas, vous ne savez pas comment l'attaquant a pu entrer, vous avez donc raison de craindre que la même chose se reproduise même si vous effectuez une réinstallation complète. Pour résoudre ce problème, vous devez configurer votre système pour la journalisation à distance. Un ordinateur séparé dédié enregistre les journaux système qui ne peuvent pas être falsifiés. Vous devez configurer votre journal d'accès au serveur Web pour envoyer une copie en temps réel au serveur de journalisation ainsi que tout ce qui concerne la sécurité, en plus du journal système normal. Les journaux doivent être séparés afin que si l'un d'entre eux devient trop gros et doit être réduit, cela n'affectera pas les autres.

Vous ne savez pas comment ils sont entrés. Votre propre ordinateur pourrait être compromis et le mot de passe aurait pu être intercepté. Quelqu'un chez le fournisseur de VPS aurait pu y accéder, ou quelqu'un qui louait un autre VPS à côté du vôtre aurait pu exploiter quelque chose. En supposant que ces choses ne se sont pas produites, la prochaine étape peut être de s'assurer que tout ce qui est vulnérable est mis à jour lors de la nouvelle installation, puis de configurer un logiciel de sécurité tel que SELinux. Assurez-vous que les violations de la politique SELinux sont envoyées au serveur de journalisation distant.

Merci pour votre contribution.La journalisation à distance sera très certainement mise en œuvre.
Mark E. Haase
2018-03-05 21:19:58 UTC
view on stackexchange narkive permalink

Mes précautions sont de rester derrière un VPN Killswitched et d'y passer le moins de temps possible.

C'est le vaudou infosec. En supposant que vous êtes derrière un routeur avec PAT, l'attaquant n'aura aucun moyen de se reconnecter à vous. En fait, le VPN crée un tunnel à travers la couche PAT, vous augmentez donc votre exposition en l'utilisant! (Bien que la politique VPN puisse empêcher les connexions entrantes.)

Le risque beaucoup plus grand est que si l'attaquant a toujours accès au système compromis, la saisie de votre mot de passe est dangereuse, c'est-à-dire un login interactif SSH ou un mot de passe sudo pourrait être volé par un utilisateur root sur le système compromis. Si vous avez configuré l'authentification par clé publique, vous pouvez l'utiliser en toute sécurité tant que vous n'utilisez pas sudo, mais consultez ma note ci-dessous sur les sauvegardes ...

La meilleure pratique consiste à supprimer le disque dur lecteur de la machine compromise et l'analyser de manière légale sur une machine distincte (un professionnel utiliserait un bloqueur d'écriture médico-légale) afin que l'attaquant n'ait pas la possibilité d'intervenir.

En tant que client VPS, vous n'êtes pas en mesure de le faire vous-même. À moins que votre fournisseur ne veuille le faire pour vous (peu probable car cela perturberait d'autres locataires sur le même matériel), vous feriez mieux de supprimer le VPS et de repartir de zéro.

J'espère que je peux obtenir ce dont j'ai besoin des sauvegardes et des [snip]

Les sauvegardes doivent toujours être stockées sur un système séparé. Si vos seules sauvegardes sont stockées sur le service compromis, alors vous vous êtes mis dans une très mauvaise position. Si vous devez saisir un mot de passe pour accéder aux sauvegardes, l'attaquant peut voler votre mot de passe.

Même si vous n'avez pas besoin de saisir un mot de passe (par exemple, l'authentification par clé publique), vous restaurez des données qui ont déjà été violées. Si l'attaquant avait installé une porte dérobée auparavant, cette porte dérobée serait enregistrée dans les sauvegardes et vous finiriez par restaurer cette porte dérobée sur votre nouveau serveur! Ou si l'attaquant a utilisé d'autres moyens pour compromettre le système, l'attaquant aurait pu insérer une porte dérobée dans vos sauvegardes afin de retrouver l'accès après que vous ayez ré-image.

Y a-t-il un moyen de d'une manière ou d'une autre récupérer ces journaux désactivés?

Oui, il est possible de récupérer les données supprimées du journal à l'aide d'une analyse médico-légale, mais pour les raisons indiquées ci-dessus, il est peu probable que cette option soit disponible pour vous.

Comme alternative, votre fournisseur peut avoir des journaux sur les adresses IP qui se connectent à leurs systèmes, et il peut être disposé à partager ces données avec vous si vous le demandez gentiment.

Je crains que, même avec un serveur réimagé et tout le durcissement dont je suis capable, ce type connaisse les domaines de mon site et attaquera probablement à nouveau.

Je ne le suis pas vraiment sûr de ce que vous entendez par "domaines". Vous pouvez conserver votre compte d'hébergement et vos noms de domaine existants, en supposant que votre mot de passe a été réinitialisé à quelque chose de sécurisé.

Le scénario le plus probable est que vous avez été compromis en raison d'une vulnérabilité non corrigée dans WordPress ou l'un de vos plugins (ou code personnalisé si vous en avez écrit vous-même). Pour éviter un futur compromis, vous devez partir de zéro (n'utilisez pas de sauvegarde de données) et vous assurer que toutes vos applications et plugins sont la dernière version. Désactivez tous les plugins dont vous n'avez pas absolument besoin.

On dirait que vous êtes peut-être un peu au-dessus de votre tête. Vous gérez vous-même des logiciels complexes et vous ne savez pas comment le compromis précédent s'est produit. Peut-être devriez-vous déplacer votre site vers un fournisseur offrant de meilleurs correctifs et une meilleure sécurité, comme l'hébergement via WordPress.com, afin que la responsabilité ne soit pas à 100% sur vous.

Beaucoup d'idées et de suggestions utiles.Vos efforts sont appréciés.En ce qui concerne le domaine, qui a essayé de le vendre et je l'ai attrapé au dernier moment ... Y a-t-il d'autres alternatives à wordpress.com?Je suis maintenant plus capable de protéger un site, même si je reconnais qu'il a fallu environ un mois pour que mon instance EC3 soit supprimée.Cela est bien sûr probablement dû à une sauvegarde falsifiée, bien que j'aie passé au peigne fin toutes les choses évidentes.Mais non, je ne suis pas si bon.Au moins j'ai récupéré le contenu, donc le site destiné simplement à aider les autres sera bientôt de retour.D'autres suggestions d'hébergement?
Roman Odaisky
2018-03-05 23:53:38 UTC
view on stackexchange narkive permalink

La plupart des hébergeurs mettent à disposition une petite image du système d'exploitation (dont le but est de faciliter l'installation initiale du système d'exploitation lorsqu'un client souhaite un système d'exploitation personnalisé, ou de corriger les erreurs empêchant le système d'exploitation de démarrer; généralement appelé «système de secours» ou quelque chose du genre) que vous pouvez démarrer et accéder au VPS compromis sans jamais lancer de malware que les attaquants auraient pu y mettre. Il vous suffit de monter votre ou vos volumes, de copier toutes les données nécessaires et de les examiner à votre guise.

Si vous ne pouvez pas faire cela, votre seul souci est de ne pas accorder d’autres vecteurs d’attaque aux attaquants. N'utilisez pas de SSH vers d'autres machines à partir de la machine compromise, assurez-vous de ne pas utiliser le transfert d'agent SSH, le transfert X11, etc. Tarez simplement les fichiers intéressants, puis scp le fichier tar de votre machine locale. Ou faites quelque chose comme ssh -C root @ compromised-host cat / dev / the-root-device >compromised-root-dev.img si vous savez quoi faire avec l'image alors.

Ou peut-être simplement demander au fournisseur d'hébergement de créer une image du système de fichiers et de vous l'envoyer d'une manière ou d'une autre (ce qui équivaudrait à la même procédure avec laquelle j'ai commencé).

Eh bien, si vous persuadez le fournisseur d'hébergement d'obtenir une image du système de fichiers de votre VPS pour vous, pour l'obtenir, ils démarrent leur image de système d'exploitation de secours (ce que vous pouvez peut-être faire vous-même) ou se connectent à la machine contenant le VPS et lisent simplementles données (ce que vous ne pouvez sûrement pas), en fonction de la technologie de virtualisation.
Bluehost a sévèrement laissé tomber la balle en me fournissant cette image.5 appels téléphoniques à n'importe quel spécialiste technique de niveau 3 et aucune image jamais envoyée.Plus jamais BH.J'aurais aimé pouvoir essayer votre méthode car elle semble avoir la plus grande valeur potentielle et laisser de la place pour un durcissement approprié, etc.
TOOGAM
2018-03-05 11:26:37 UTC
view on stackexchange narkive permalink

Existe-t-il un moyen de récupérer d'une manière ou d'une autre ces journaux désactivés?

Oui.

Si la machine virtuelle entière vous appartient (et que vous ne l'êtes pas le partager avec quelqu'un d'autre), obtenez une sauvegarde de l'ensemble de votre machine virtuelle. Faites-le immédiatement. Cela inclura tous les journaux de votre machine.

Demandez également à Bluehost les journaux pertinents qu'il peut fournir. Faites-le immédiatement afin qu'ils ne perdent pas les journaux. (De nombreux endroits feront tourner les journaux au fil du temps, alors assurez-vous que quelqu'un sait comment conserver les journaux qui sont considérés comme potentiellement intéressants.)

Ensuite, concentrez-vous sur la mise en service d'une machine sûre. (Comme le mentionne BlueHost, cela implique probablement un rechargement du système d'exploitation.) Assurez-vous que vos données sont en sécurité. (par exemple, si vos données incluent des informations sur les comptes et incluent un compte que l'attaquant utilise pour y accéder, cela n'est pas sûr.) Faites en sorte que cette machine sûre utilise les données sûres que vous appréciez. Faites tout cela aussi vite que possible.

Que dois-je regarder d'autre si l'objectif est de compiler suffisamment de données pour transformer ce type en autorités?

D'où vient cet attaquant? Qui est cet attaquant?

Comme le note Forest, il est peu probable que les "autorités" s'en soucient beaucoup. Il y a de fortes chances que vous ayez été attaqué par une autre machine compromise. Par conséquent, la personne qui possède cette machine est également une victime, et essayer d'attaquer légalement cette personne ne profitera probablement pas beaucoup à personne. Ce que vous devez faire est de vous attaquer à la personne qui a vraiment lancé l'attaque. Malheureusement, plusieurs méthodes de redirection étant possibles, de nombreux attaquants ne sont pas traçables.

Ma crainte est que, même avec un serveur réimagé et tout le durcissement dont je suis capable, cela mec connaît les domaines de mon site et va probablement attaquer à nouveau.

Ouais. C'est une préoccupation. Jusqu'à ce que la personne soit arrêtée, il y a un tel potentiel. J'espère que vous réussirez mieux à empêcher les prochaines attaques. L'éducation et les efforts continus devraient vous amener à ce point, espérons-le le plus tôt possible. En attendant, assurez-vous d'avoir de bonnes sauvegardes accessibles et de bien dormir la nuit en sachant que vous pouvez restaurer à partir d'une sauvegarde.

Je suppose que cela devrait être une question distincte, mais devrais-je me préparer de devoir abandonner complètement mes domaines en raison de son niveau de compétence?

Non. Ne cédez pas.

Je déteste le faire, mais j'ai peur qu'il fasse tout ce qu'il peut pour détruire à nouveau le serveur et les sites,

Cela peut arriver si vous ne sécurisez pas le serveur avec plus de succès. Essayez de passer du temps à faire cela. Assurez-vous également que vous disposez de bonnes sauvegardes. Ne faites pas simplement confiance à Bluehost. Je n'essaye pas de dire quelque chose de mal à propos de Bluehost. Je dis, ne faites pas confiance à une seule solution de sauvegarde, surtout si des problèmes sont attendus.

puis continuez comme avant pour détruire mon réseau domestique et tous les appareils.

Oh, c'est tout simplement terrible. Pourquoi des dommages à une machine virtuelle distante, exécutée sur un site d'hébergement professionnel, affecteraient-ils votre réseau domestique? Il y a des problèmes de sécurité majeurs si cela se produit.

Cela en vaut-il la peine? Il est capable de bien pire que ce qu'il a fait et je crains des représailles.

Obtenez des sauvegardes de votre site Web.
Obtenez des sauvegardes de données importantes sur votre réseau domestique.

Si vous faites du bon travail, même si le vol finit par être possible (une copie d'informations confidentielles peut être volée), vous pouvez toujours récupérer.

Je pense qu'OP craint que l'attaquant essaie de détruire son réseau domestique pour se venger, pas sa société d'hébergement.
Votre réponse donne l'impression que vous dites que les «journaux désactivés» peuvent être récupérés, ce qui est incorrect.
OP peut obtenir les journaux pouvant contenir des informations avant leur désactivation.
trognanders
2018-03-06 11:52:15 UTC
view on stackexchange narkive permalink

Obtenez simplement une image du lecteur du serveur Web. Il est peu probable que son montage sur une nouvelle machine virtuelle présente un risque significatif. Le code du lecteur monté ne doit pas s'exécuter, vous pouvez parcourir les données à votre guise.

Il n'est certainement pas sûr de se connecter à une machine compromise avec un protocole d'accès à distance. Alors que les serveurs sont plus constamment disponibles pour être compromis, le logiciel client se connectant à un serveur malveillant peut être exploité (si un exploit existe).

Tenter de restaurer votre contenu Web à partir du contenu du lecteur monté est probablement mauvais informé. Les modifications apportées aux fichiers de code peuvent être assez cachées et difficiles à trouver. En utilisant PHP, ils peuvent facilement fournir une porte dérobée à votre prochaine machine VPS ...

Les éléments de la base de données SQL peuvent être modifiés pour contenir du code pour attaquer les visiteurs de votre site Web.

Si vous voulez vraiment durcir votre site vous débarrasser de WordPress. Des choses merveilleuses sont faites avec les générateurs de sites statiques (Gatsby, Jekyll, etc ...)

Merci beaucoup.Installera l'image sur la machine virtuelle pour une analyse ultérieure.Pouvez-vous clarifier la mise en garde de votre bureau à distance?Mon plan est de récupérer le mot de passe racine fourni par BH, puis de passer à WHM (ou est-ce que ce sera un mot de passe séparé?) Pour récupérer les sauvegardes et enregistrer des copies de ses bases de données.Je prendrai votre suggestion relative à wordpress sous haute considération.Est-ce que vous ou quelqu'un avez une recommandation des meilleurs générateurs (je sais que vous en avez donné 2) qui peuvent être utilisés sur un site hébergé ou auto-hébergé?L'auto-hébergement semble être une bête différente, laissant mon réseau encore plus en danger ...
@PrestonBennett Ma compréhension de WHM est qu'il ne fera rien à moins que vous ne démarriez la machine exploitée (et que vous la connectiez à Internet, rien de moins).C'est une mauvaise idée, ne le faites pas.Les machines virtuelles utilisent des fichiers image de disque qui sont conceptuellement équivalents à un disque dur physique.Obtenez cette image disque et accédez-y de manière _offline_, sans jamais exécuter de fichiers ni démarrer le système d'exploitation qui y est contenu.
@PrestonBennett Encore une fois, la valeur de vos sauvegardes restaurées est hautement suspecte ... vous devriez probablement essayer d'utiliser des sauvegardes qui n'étaient pas stockées sur le disque de la machine virtuelle pendant la période exploitée.Les journaux de Bluehost pourraient en quelque sorte vous aider à trouver des indices sur le coupable ... mais il n'y aura rien dans l'image disque vm qui vous aidera beaucoup.Gardez l'image disque non modifiée ... cela peut être une preuve plus tard si vous persuadez quiconque d'enquêter.
@PrestonBennett N'êtes-vous pas un peu fatigué de la chose auto-hébergée en ce moment?Les générateurs de sites statiques créent du HTML simple que vous pouvez héberger littéralement n'importe où.Amazon S3 serait probablement mon choix.NE PAS auto-héberger de fichiers HTML statiques ... tout est risqué, pas de récompense.Gatsby serait probablement mon choix pour un nouveau projet.
@BaileyS Il existe également [Netlify] (https://www.netlify.com/), qui propose un niveau gratuit impressionnant.(pas d'affiliation, juste un utilisateur heureux)
@JF Isn't Netlify est un produit / service sympa ... mais cela devient un peu cher si vous avez réellement besoin de quelque chose pour lequel ils facturent de l'argent.
@Bailey S Veuillez expliquer les avantages de disons S3 par rapport à wordpress.Cela me détache-t-il les mains pour le soutien lié à la sécurité?Je demande bc j'ai eu des ordures de BH pendant des mois.S'il s'agissait d'une autre entreprise viable, cela aurait été résolu au début de la faille de sécurité.
@PrestonBennett Avez-vous regardé les générateurs de sites statiques?Pouvez-vous atteindre vos objectifs en utilisant un?L'utilisation de ressources de style IAAS (VPS, EC2, etc.) pour héberger WordPress signifie que vous êtes responsable de pratiquement tout.Le panneau de contrôle Web et la ligne de service à la clientèle le rendent sûr et facile, mais les deux sentiments sont erronés.Amazon S3 (entre autres) peut héberger publiquement des fichiers statiques via HTTP, tels que ceux générés par votre générateur de site statique.Il s'agit davantage d'un service de style PAAS, où Amazon est responsable de la CIA / AAA du service.Ils sont assez bons dans ce domaine.
@BaileyS Très apprécié.Va enquêter plus loin.
Wayne Werner
2018-03-06 10:02:20 UTC
view on stackexchange narkive permalink

Comme certaines informations y ont fait allusion, si vous avez utilisé ces identifiants compromis n'importe où , vous devez changer vos mots de passe. De préférence, vous devriez utiliser un bon outil comme Keepass ou Lastpass qui vous permet de protéger n'importe quel nombre de mots de passe forts, générés et aléatoires, et vous n'avez qu'à vous souvenir de la seule phrase de passe principale.

keepass a été exploité dans mon système domestique avant que je sache qu'il était compromis.Merci pour les suggestions.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...