अल्बानियाई हैकर्स वर्डप्रेस होस्टिंग

बुनियादी ढांचा और एक सेवा प्रदाता के रूप में मंच के प्रसार के साथ, यह कोई आश्चर्य की बात है कि आज की वेबसाइटों के बहुमत लौकिक बादल में की मेजबानी कर रहे हैं। यह बहुत अच्छा है क्योंकि यह संगठनों और व्यक्तियों को समान रूप से जल्दी से अपने स्वयं के बुनियादी ढांचे / प्रणालियों पर अपेक्षाकृत कम भूमि के ऊपर के साथ, अपनी वेबसाइटों को तैनात करने की अनुमति देता है। जबकि वहाँ इतने सारे सकारात्मक बादल में होस्टिंग के साथ जुड़े गुण हैं, वहाँ भी, विशेष रूप से जब यह सुरक्षा की बात आती है और आप के रूप में एक वेबसाइट के स्वामी करने के लिए अनुमति दी जाती है (यह मेजबान पर निर्भर करता है और क्या आप को सक्षम किया सुविधाएँ हैं सीमाओं, और अधिक जानने के पर कैसे मेजबान अपनी वेबसाइट सुरक्षा प्रबंधन)।

अल्बानियाई हैकर्स अपनी वेबसाइट सुरक्षा प्रबंधन की मेजबानी WordPress के

उदाहरण के लिए, इस लॉग, विशेष रूप से, लेखा परीक्षा / सुरक्षा लॉग के रूप में बनाए रखने और महत्वपूर्ण जानकारी के संग्रह के साथ खेलने के लिए में आता है।

पिछले कुछ महीनों से हम और कैसे वेबसाइटों हैक हो जाते हैं पर लेख की एक संख्या कहा हैक्स के प्रभावों साझा किया है। पिछले वर्ष हमने कुछ समय बिताया चीर-फाड़ कैसे हमारे नि: शुल्क WordPress सुरक्षा प्लगइन का उपयोग कर एक वर्डप्रेस हैक साफ करने के लिए। या कला पता लगाना है कि क्या हुआ - आज, मैं, विशेष रूप से, फोरेंसिक हादसा रिस्पांस की दुनिया में एक सा आगे खुदाई करने के लिए चाहते हैं।

मेरे अनुभव में, मैं एक हाथ पर वेबसाइट / वातावरण है कि फायरवॉल, घुसपैठ जांच प्रणाली (आईडीएस), आदि जैसे उनके विभिन्न निवारक उपकरण कई मामलों में के लिए जगह में प्रभावी लेखा परीक्षा पड़ा है की संख्या की गणना कर सकते हैं, उपकरण कॉन्फ़िगर किया गया है, लेकिन लॉग या तो एक।) एकत्र कर रहे हैं नहीं किया जा रहा या ख।) एकत्र, लेकिन नहीं है या उनका विश्लेषण किया जा रहा। भले ही, यह मामलों के एक उदास राज्य भी बहुत अच्छा है क्योंकि घटना जवाबी कार्रवाई के लिए प्रभावों है।

सौभाग्य से, हम अक्सर पर भरोसा कर सकते वेबसाइट पहुँच लॉग कर रहे हैं। हम शब्द का प्रयोग बहुत शिथिल गिनती, क्योंकि सबसे अधिक बार में हम कोई ठीक 24 घंटे है, 7 दिन की सबसे अच्छा मामलों परिदृश्य के साथ। कुछ कह सकते हैं कि यह अच्छा है, हालांकि, हम यह केवल ठीक है और अक्सर पर्याप्त नहीं पूरी कहानी पाने के लिए है कि क्या करना है। यह निश्चित रूप से कुछ यद्यपि के साथ काम शुरू करने के लिए है। अगर वहाँ एक बात आप मेरे बारे में पता होना चाहिए है, यह है कि मैं लॉग प्यार है, यह वास्तव में कारण है कि मैं कई साल पहले OSSEC परियोजना शुरू की है और क्यों मैं एक होस्ट घुसपैठ जांच प्रणाली (HIDS) के रूप में अपने नेटवर्क में यह काम करने के लिए प्रोत्साहित करते हैं।

वेबसाइट का उपयोग लॉग्स और फोरेंसिक - समझना कैसे अपनी वेबसाइट हैक की गई थी

नीचे, मैं उम्मीद है कि मदद करने के लिए आप समझते हैं और प्रभाव और अपने पहुँच लॉग के महत्व की सराहना एक गाइड प्रदान करेगा और, अधिक महत्वपूर्ण है, कैसे आप देख रहे हैं की समझ बनाने के लिए।

इससे पहले कि हम भी शुरू कर सकते हैं, तो आप अपने पहुँच लॉग लगाना होगा। दुर्भाग्य से, यह हर मेजबान के लिए अलग हो सकता है, तथापि, यह आसान हिस्सा माना जाता है। यदि आप अनिश्चित हैं, जहां यह संग्रहीत किया जाता है, अपने मेजबान से संपर्क करें और वे और आप सही दिशा में बात जल्दी से पहचान करने में सक्षम होना चाहिए। सबसे महत्वपूर्ण सवाल पूछने के लिए कर रहे हैं:

अल्बानियाई हैकर्स अलग स्थान की मेजबानी वर्डप्रेस तो आप कर सकते हैं
  1. तुम मेरी वेबसाइट के आवागमन के लिए उपयोग कर सकते लॉग एकत्रित कर रहे हैं?
  2. यदि नहीं, तो आप कर सकते हैं?
  3. तुम कब तक के लिए लॉग एकत्रित कर रहे हैं?
  4. मैं उन लॉग के लिए उपयोग किया है?
  5. मैं उन लॉग कहां ढूंढूं?

आप इसे कर रहे हैं, तब तक आप आगे जाना है और उन्हें अपने FTP लिए पूछने के लिए चाहते हो सकता है / SFTP भी लॉग करता है।

साझा मेजबान बेहद मुश्किल हो सकता है। cPanel आधारित सर्वर के अंदर लॉग है

/ अपने घर फ़ोल्डर में पहुँच-लॉग निर्देशिका, हालांकि, कुछ प्रदाताओं के लिए 24 घंटे के लिए लॉग प्रतिबंधित।

आप जाएँ

/ पहुँच-लॉग निर्देशिका, आप का उपयोग-लॉग देखना चाहिए और त्रुटि लॉग फ़ाइलें। अगर वहाँ वहाँ में केवल एक फ़ाइल है, तो आप अपने प्रदाता के रूप में भाग्य से बाहर होने की संभावना है केवल 1 दिन के लिए लॉग संग्रहीत करता है।

आप एक से अधिक संकुचित (gzip) फ़ाइलों को देखने, तो यह आपके लिए उपलब्ध अधिक लॉग को दिन का समय दिया है।

ये आम तौर पर ज्यादा काम करने के लिए बेहतर के साथ लिनक्स सेटिंग्स थोड़ा अधिक समय के लिए लॉग रखते डिफ़ॉल्ट के रूप में कर रहे हैं, हालांकि, नहीं हर मेजबान एक ही है। आप / var / लॉग इन करने / httpd (या / var / log / nginx या / var / log / अपाचे) नेविगेट करते हैं, आप की संभावना कम से कम 7-10 दिनों के लिए लॉग पा सकते हैं।

यह पर्याप्त डेटा उम्मीद है कि क्या हुआ है के लिए एक अच्छा प्रशंसा पाने के लिए किया जाएगा।

अब आप अपने लॉग हैं और उन्हें डाउनलोड किया है, कि अच्छी खबर है! अब हम यह पता लगाने की है कि वे क्या मतलब है। मैं उन्हें एक अलग स्थान में सहेजने की सलाह देते हैं ताकि आप अपने सर्वर को परेशान किए बिना अपने विश्लेषण कर सकते हैं, के रूप में और भी अधिक अनुभवी sysadmins गलतियाँ कर सकते।

अगले कदम को समझने के लिए अपने लॉग देखने के लिए कैसे है। अपाचे और Nginx सहित ज्यादातर वेब सर्वर, आम लॉग प्रारूप में उनके लॉग, भी NCSA सामान्य लॉग प्रारूप के रूप में जाना की दुकान। यह कुछ भागों में विभाजित है:

यह आपको लगभग सभी जानकारी आप, सहित यह कहाँ (IP_ADDRESS) से आया है अपनी वेबसाइट के लिए अनुरोध के बारे में पता करने की जरूरत, समय और तारीख, यूआरएल, आकार, ब्राउज़र और आपके सर्वर द्वारा प्रतिक्रिया व्यक्त (HTTP_RESPONSE_CODE) दे देंगे।

यह एक बहुत ही मानक लॉग प्रारूप और काफी समझते हैं और संश्लेषण के लिए आसान है।

के ध्यान में निम्नलिखित उदाहरण लेते हैं:

हम देख सकते हैं गूगल से आईपी पते 66.249.75.219 यूआरएल "/" सुबह जून 30 वीं में 9 पर, 2015 सर्वर एक "200" (सफलता) लौट आए, पेज अस्तित्व में अर्थ का दौरा किया और कोई त्रुटि पर उत्पन्न किया गया है कि निवेदन।

आप इस लॉग प्रारूप से परिचित नहीं हैं, तो मैं कुछ समय बिताने के विभिन्न लॉग स्वरूपों के लिए इस महान परिचय पढ़ने की सलाह। मैं भी, के रूप में वे क्या अपनी वेबसाइट के साथ क्या हो रहा है के लिए दृश्यता का एक बहुत प्रदान कर सकते हैं अपने लॉग में अधिक बार देख सलाह देते हैं।

आप अपने लॉग नहीं मिले और आप समझ है कि वे क्या, की तरह एकदम सही हैं!

सवाल अब, हो जाता है कि कैसे आप सभी डेटा की भावना कर सकता हूँ? यह विशेष रूप से के विषय में है, क्योंकि जहां हम एक लॉग लाइन थी कि ऊपर के उदाहरण के विपरीत, यदि आप अपने लॉग फ़ाइल को खोलने आप हजारों भी एक फ़ाइल में अनुरोध के लाखों लोगों को खोजने के लिए की संभावना हो। यह और भी फोरेंसिक विश्लेषकों की ताकतवर को रोकने के लिए पर्याप्त है। इसलिए, हम पार्स करने और आदेश की जानकारी हम एक क्रियान्वित तरह से की आवश्यकता होती है साइफन में डेटा का विश्लेषण करने के लिए कैसे जानने के लिए की है।

हम क्या मायने रखती है खोज, शोर हटाने और भागीदारों है कि हम क्या हुआ एक संकेत दे देंगे पता लगाने की कोशिश करने के लिए है।

शोर के कारण, हम सब सामान है कि लागू नहीं होता है को फ़िल्टर करने के लिए है। हम क्या सोचते हैं की परवाह किए बिना, लगभग हर वेबसाइट के लिए एक समान पैटर्न है कि हमारी मदद कर सकते चीजों की अनदेखी करने और चीजों के एक प्रोफ़ाइल बनाने पर ध्यान केंद्रित करने की है।

उदाहरण के लिए, "/" करने के लिए अनुरोध करता है। या पेज के शीर्ष। हर आगंतुक कि हिट होने की संभावना है, और अधिक यातायात आप आप सिर्फ उन पंक्तियों आप अपने लॉग में मिलेगा में से कितने की कल्पना कर सकते है। तो हम जैसे सीएसएस या जे एस फ़ाइलें हर अनुरोध पर लोड किया जा रहा है कि तरह बातें, या चीजों पट्टी करना चाहते हैं। यह सब ज्यादातर शोर और काफी आसान फिल्टर करने के लिए है। आप एक टर्मिनल गीक हैं, तो आप अपने लॉग देखने के लिए इन अनावश्यक प्रविष्टियों को हटाने के द्वारा ग्रेप तरह आदेशों का उपयोग कर सकते हैं:

उपरोक्त उदाहरण में, हम सब .js छीन लिया। सीएसएस। png। प्रदर्शित करने से जेपीजी और .jpg फ़ाइल प्रकारों। औसत साइट पर, यह 60% से अधिक से निरीक्षण करने के लिए लाइनों की संख्या में कटौती करेगा। तुम भी, अपने मुख्य पृष्ठों के लिए सरल दौरा पट्टी कर सकते हैं 80% से अधिक से लाइनों की संख्या में कटौती:

इस उदाहरण में, मैं "/" अनुरोध, / संपर्क और / साइनअप पृष्ठों पर ध्यान नहीं दिया। अपनी साइट पर निर्भर करता है, तो आप सिर्फ कुछ सौ लॉग माध्यम से जाने की लाइनों, निश्चित रूप से क्या आप मूल रूप से साथ शुरू किया था की तुलना में बहुत बेहतर होगा।

किसी कारण से आप अभी भी अनुरोध के हजारों है, तो हम कुछ मान्यताओं बनाने और हमारे फ़िल्टर का समायोजन शुरू करना चाहते हैं। यह निश्चित है गतिविधियों है कि आप निरीक्षण के लायक है, सहित पता करने के लिए आपके अनुरोध फिल्टर करने के लिए बेहतर हो सकता है;

  1. पोस्ट अनुरोध।
  2. व्यवस्थापक पृष्ठों के लिए अनुरोध।
  3. अमानक स्थानों के लिए अनुरोध।

यही कारण है कि आसानी से केवल शो अनुरोध करने के लिए "| WP-लॉगिन | WP-व्यवस्थापक पोस्ट /" करने के लिए ऊपर हमारे ग्रेप आदेश को संशोधित करके किया जा सकता है:

यही कारण है कि आम तौर पर बहुत आसान विश्लेषण करने के लिए कर रही है, द्वारा 1/200 वीं लाइनों की संख्या में कटौती। आप इस साइट के प्रशासकों के आईपी पते को पता है, तो आप उन्हें रूप में अच्छी तरह से हटा सकते हैं (हम 1.2.3.4 और 1.2.3.5 उदाहरण के रूप में इस्तेमाल):

मदद से आप समझते हैं और अपने डेटा के माध्यम से पार्स करने के लिए ऊपर हम कुछ ही कदम साझा की है। हालांकि, हम कैसे इस लागू करते हैं और यह व्यावहारिक कर सकता हूँ?

हम आप के साथ हाल ही में एक व्यायाम हम अपने ग्राहकों से एक के साथ माध्यम से चला गया साझा करना चाहते हैं। ग्राहक पर वर्डप्रेस था, वे समझौता किया गया और वे एक ही सवाल हर कोई है था, मैं कैसे हैक कर लिया गया था? निम्नलिखित संभावना में थोड़ा और अधिक तकनीकी हो जाएगा और कुछ कमांड लाइन ज्ञान की आवश्यकता होगी, लेकिन यह तकनीकी रूप से तैयार करने के लिए बहुत बुरा नहीं होना चाहिए। उन है कि नहीं कर रहे हैं के लिए, आप हमें क्यों कि कोई चिंता नहीं है,।

पहला काम हमने किया एक फ़ाइल में कुल सभी लॉग था, हमारे विवेक के लिए:

यह लॉग के 1,071,201 लाइनों प्रदान की गई। के रूप में WC द्वारा प्रदर्शित; इसका मतलब यह है कि हमने ऊपर पार्स चाल लाभ उठाने के लिए क्रिसमस से इस डेटा के माध्यम से इसे बनाने के लिए होगा।

सबसे पहले, हम WP-लॉगिन में पोस्ट अनुरोध के लिए देखा:

हम अपने ग्राहक आईपी पते को हटा दिया और परिणाम वास्तव में 188.163.91.92 (एक यूक्रेनियाई आईपी पते) से लॉग की केवल एक पंक्ति थे।

स्वाभाविक रूप से, यह एक झूठी सकारात्मक है या एक जानवर बल प्रयास हो सकता है, लेकिन यदि उपयोगकर्ता WP-प्रवेश के बाद WP-व्यवस्थापक का दौरा किया, इसका मतलब है अपने लॉगिन सफल रहा:

एक सेकंड रुको! मुझे लगता है कि हम यहाँ कुछ पाया। यूक्रेन से कि आईपी वास्तव में प्रवेश करने के बाद WP-व्यवस्थापक पहुँचा और विषय संपादक के लिए सीधे चला गया। यही कारण है कि वेबसाइट के स्वामी अमेरिका में रहती है और कोई रिमोट योगदानकर्ताओं है विशेष रूप से के रूप में हमारे लिए एक बड़ी लाल झंडा है, और पर ध्यान देने लायक एक स्पष्ट संकेत है,। हम हालांकि बेहतर जानकारी के लिए की जरूरत है। अब हम कटौती कमांड के साथ हमारे ग्रेप मिश्रण एक आसान तरीका सभी यूआरएल है कि आईपी पहुँचा में देखने के लिए कर सकते हैं:

हे भगवान, आप की घटनाओं के समय देखते हैं?

हमलावर WP-प्रवेश द्वारा वेबसाइट में लॉग इन, विषय संपादक के पास गया और 404.php फ़ाइल को संशोधित:

उसके बाद, उन्होंने 404 फ़ाइल सीधे दौरा किया:

कौन सा संभावना एक PHP पिछले दरवाजे है (यह) था। उन्होंने कहा कि एक और पिछले दरवाजे था-wp.php बनाने के लिए है कि फाइल का इस्तेमाल किया। आप देख सकते हैं जिसके बारे में उन्होंने अच्छी तरह से बाद में दौरा किया। कैसे हमलावरों केवल पर्यावरण समझौता नहीं है, लेकिन फिर पहुँच बनाए रखने के लिए लग रही है और यह सुनिश्चित करें कि अगर आप अपने पहुँच नियंत्रण को अद्यतन वे अभी भी एक्सेस बनाए रख सके नियंत्रित करने का एक और उदाहरण।

इस के साथ, हम पर्याप्त आत्मविश्वास के एक उच्च डिग्री है कि ग्राहकों को उपयोगकर्ता नाम और पासवर्ड के साथ समझौता किया गया कहना था, हमलावर वह जो चाहते हैं उसे दे रही है। हमलावर तो उनके विषय संपादक के उपयोग फ़ाइलों को संशोधित करने के लिए बनाया है, उन्हें पिछले दरवाजे इंजेक्षन करने की इजाजत दी है, उन्हें पूरा नियंत्रण के बाद भी वे अपने क्रेडेंशियल्स अद्यतन दे रही है।

क्या इन लॉग तथापि दिखाई नहीं दिया कि वे किस तरह पासवर्ड मिल गया है। हम कुछ दिनों के वापस चला गया, और पर्यावरण का उपयोग करने के निरंतर प्रयास देखा था, लेकिन यह है कि अगर कारण था या नहीं, या इस हमलावर सिर्फ भाग्यशाली था, तो कहना मुश्किल है।

यह उम्मीद है कि आप एक बहुत छोटी, सरल, फोरेंसिक और क्या यह लेता है की दुनिया में दृश्य देना चाहिए। इस अधिकार के साथ, हालांकि भ्रमित नहीं किया जाना चाहिए, या की पहचान की दुनिया जो आप हैक कर लिया। यही कारण है कि एक अलग प्रक्रिया सब एक साथ है।

हम ऊपर एक उदाहरण के रूप वर्डप्रेस का उपयोग करते हैं, उन्हीं चीज़ों के साथ-साथ अन्य वेबसाइट प्रौद्योगिकियों के लिए लागू किया जा सकता है।

डैनियल बी Cid संस्थापक है Sucuri के सीटीओ और भी ओपन सोर्स प्रोजेक्ट के संस्थापक - OSSEC HIDS। अपने हितों घुसपैठ का पता लगाने से लेकर, लॉग विश्लेषण (लॉग-आधारित घुसपैठ का पता लगाने), वेब आधारित मैलवेयर अनुसंधान और सुरक्षित विकास। आप अपनी साइट dcid.me पर या ट्विटर पर डैनियल के बारे में अधिक जानकारी प्राप्त कर सकते हैं: @danielcid

हम अब हमारे ब्लॉग पर टिप्पणियां समर्थन करते हैं। आप बातचीत जारी रखने के लिए चाहते हैं, तो @sucurisecurity और @sucurilabs पर ट्विटर के माध्यम से हमारे साथ व्यस्त हैं। आप सिफारिशों या प्रश्न है कि 140 से अधिक वर्णों की आवश्यकता है, तो कृपया हमें info@sucuri.net पर एक ईमेल भेजें।

प्राथमिक साइडबार

इस वीडियो को देखें!

संबंधित आलेख

वेब होस्टिंग ऑस्ट्रेलिया वर्डप्रेस वेबसाइटएक वेब होस्टिंग सेवा का चयन एक भ्रामक कार्य, वहाँ इतने सारे वेब होस्टिंग प्रदाता, समान सेवाओं की पेशकश के साथ हो सकता है। इसलिए हम 10 सर्वश्रेष्ठ प्रदर्शन करके आसान यह निर्णय लिया है ...
IPage होस्टिंग और वर्डप्रेसअंतिम पर अद्यतन: 1 जनवरी, 2017 आप एक विश्वसनीय मेजबान अपनी नई साइट उठना की तलाश में और के रूप में तेजी से और संभव के रूप में सस्ते चला रहे हैं, SiteGround साथ जाना। वे एक 60% छूट की पेशकश कर रहे हैं ...
विकी मैग मुक्त वर्डप्रेस होस्टिंगएक वेब होस्टिंग सेवा का चयन एक भ्रामक कार्य, वहाँ इतने सारे वेब होस्टिंग प्रदाता, समान सेवाओं की पेशकश के साथ हो सकता है। इसलिए हम 10 सर्वश्रेष्ठ प्रदर्शन करके आसान यह निर्णय लिया है ...
अमेज़न S3 वेब होस्टिंग वर्डप्रेसआप अमेज़न S3 पर एक स्थिर वेबसाइट होस्ट कर सकते हैं। एक स्थिर वेबसाइट पर, अलग-अलग वेब पृष्ठों स्थिर सामग्री शामिल हैं। उन्होंने यह भी क्लाइंट साइड स्क्रिप्ट हो सकती है। इसके विपरीत, एक गतिशील वेबसाइट पर निर्भर करता है ...
वेब NZ वर्डप्रेस ब्लॉग की मेजबानीएक वेब होस्टिंग सेवा का चयन एक भ्रामक कार्य, वहाँ इतने सारे वेब होस्टिंग प्रदाता, समान सेवाओं की पेशकश के साथ हो सकता है। इसलिए हम 10 सर्वश्रेष्ठ प्रदर्शन करके आसान यह निर्णय लिया है ...