아파치 원시 액세스 로그가있는 경우 회사 웹 사이트가 손상되어 언제, 무엇이 잘못되었는지 분석 할 수있는 방법이 있습니까?
수천 줄의 로그 중에서 무엇을 찾아야합니까?
도와 주셔서 감사합니다
답변
Daisetsu대답은 올바른 줄에 있습니다.
그러나 풀 타임 내보내기를 사용하지 않고도 일부 분석을 수행 할 수 있습니다.
나는 당신이 할 수있는 일의 요점을 줄 짧은 기사에 몇 가지 링크를 추가하고 있습니다.
- WebAppSec의 웹 보안 인터뷰 질문
- DigitalOffencive에서 웹 서버 로그를 사용하여 손상된 웹 서버 찾기
- 무엇을 웹 사이트 오손 후해야 할 일 ?
제안 :이 질문을 ServerFault로 옮기면 수행 할 수있는 작업에 대한보다 직접적인 답변을 얻을 수 있습니다.
답변
시스템이 손상 / 훼손된 경우 모든 것이 청소되었는지 확실하지 않으며 IMHO 최상의 솔루션은 항상 다시 설치하는 것이지만 어떤 일이 있었는지 이해하고 다시 발생하지 않도록 법의학을 수행해야합니다.
확인해야 할 중요한 사항은 다음과 같습니다.
- 가능한 모든 로그 파일, 특히 웹 서버 및 시스템 로그 파일을 살펴보십시오. 웹 서버 로그 파일에서 게시물을 확인하십시오.
- 루트킷 검사기를 실행하십시오. 그들은 불가피하지만 올바른 방향으로 당신을 이끌 수 있습니다. chkrootkit 및 특히 rkhunter는 작업을위한 도구입니다.
- 서버 외부에서 nmap을 실행하고 포트에서 수신 대기 중이 아닌 무언가가 있는지 확인하십시오.
- Cacti, Munin 또는 Ganglia와 같은 rrdtool 트렌드 응용 프로그램을 사용하는 경우 그래픽을 살펴보고 atack의 가능한 시간 범위를 검색하십시오.
- 웹 서버의 버전을 확인하고 알려진 보안 문제가 있는지 확인하십시오.
또한 항상 염두에 두십시오.
- 필요없는 서비스를 종료하십시오
- 정기적으로 백업 테스트
- 최소 특권 원칙을 따르십시오
- 특히 보안 업데이트에 관한 서비스 업데이트
- 기본 자격 증명을 사용하지 마십시오
도움이 되었기를 바랍니다.
답변
예, 네트워크 포렌식이라고합니다. 기본적으로 공격의 원점과 대상을 찾기 위해 네트워크 및 서버 로그를 조사하고 있습니다. 이를 위해서는 보통 법의학 전문가가 필요하지만, 무슨 일이 있었는지 알게 되더라도 최악의 경우 공격자를 고소하거나 범죄 행위를 저지르는 것입니다. 웹 손상은 실제로 큰 범죄로 간주되지 않습니다. 공격의 결과로 회사가 돈을 잃어 버리지 않는 한입니다. 심각한 경우 해당 기관에 연락하면 증거 수집에 도움을 줄 것입니다. 사이버 범죄에 연락 할 사람의 목록은 다음과 같습니다. http://www.justice.gov/criminal/cybercrime/reporting.htm
또한 법률 자문으로 간주되지 않습니다.