Klucze Mollom api hosting Drupal

Twoja witryna Drupal został posiekany. Co teraz?

Ojej. Najgorszy scenariusz doszła do pass: luka gdzieś dozwolony złośliwego osobnika (lub bot, co bardziej prawdopodobne), aby przejąć swojej stronie. Dobre wieści: zauważyłeś, że to zrobili. Zła wiadomość: teraz trzeba posprzątać.

Ten przewodnik daje szereg etapów, jak radzić sobie z sytuacją. To nie może być wyczerpująca. Jeśli czujesz, że czegoś brakuje, prosimy przyczynić. Pomysły zostały przedstawione w porządku chronologicznym. Na każdym kroku, trzeba będzie podejmować decyzje i podejmować działania, które są najbardziej odpowiednie dla danej sytuacji.

hosting

Krok 1: Zrób kopię kryminalistycznych miejscu

Po upewnieniu się, że już hacked należy przerwać i zrobić wszystko kryminalistycznych kopię. Niektórzy ludzie wolą dosłownie ciągnąć kabel sieciowy i kabel zasilający od serwera, chociaż oczywiście nie zawsze jest właściwe i nie działa dla wszystkich środowiskach (cloud, anyone?). Jeśli możesz, to kryminalistycznych kopia może być na poziomie systemu operacyjnego migawka serwera (ów) zaangażowanych. W przeciwnym razie przejdź do kopii bazy danych i plików. Przechowywać jedną kopię do mediów, które nie mogą być modyfikowane jak płyty CD lub DVD.

Krok 2: Zdecyduj zachować, wycofywania, przebudowy lub wrzucać na stronę hotelu.

„Utrzymanie” strona wymaga spędzają dużo czasu i wysiłku, przeglądając go. Użytkownik może zdecydować, w zależności od rodzaju terenu, że jest to całkowicie dopuszczalne, aby go wyrzucić lub go odbudować. Może na potrzeby strony przesunęły i zostałeś planuje przebudować go już. Być może to było za wydarzenie, które już minęło i można zrobić statyczną kopię lub po prostu usunąć je wszystkie. Nawet jeśli już zdecydował się odbudować lub usunąć witrynę nie są zrobione z tego procesu, ale przynajmniej masz wyciąć dużo pracy w rekultywacji. Może nie być w stanie podjąć tę decyzję czy może zmienić zdanie w oparciu o badania zrobić w ramach rekultywacji. Rozpocząć proces, uznając to pytanie i może pomóc złagodzić swoje życie. Jeśli znasz konkretną datę, że witryna została zaatakowana przez hakerów, może być w stanie odbudować witryny łatwo po prostu za pomocą starszej kopii zapasowej bazy danych i plików (dokonaniu tych i zachować je wokół, prawda?).

Sidebar: Dokumentacja i nauka

Jedną z pierwszych rzeczy, które należy zrobić, to otworzyć dwa klocki zera. Jeden dokumentowania wszystko co odkryłem i że teraz robisz. Jeśli zauważysz istotny szczegół dowodzi jak atakujący dostał, dodaj źródło informacji i jak dużo tych informacji, jak to tylko możliwe. Drugi dokument jest na rzeczy, które chcesz zrobić, aby utwardzić swoją stronę, aby pomyśleć jak przejść przez ten proces. można zrealizować wiele rzeczy można zrobić, aby utrudnić napastników, ale ich nie jest łatwe lub dość krytyczny zrobić teraz. Zapisać te cenne pomysły na później.

klucze API Mollom drupal hosting dostępu do

Krok 3: Kto powinien powiadomić?

Należy zacząć podejmowaniu decyzji, które należy powiadomić o problemie. Jeśli witryna miała użytkowników i uważasz, że Twoja strona została całkowicie przejęta następnie prywatnej zawartości jak ich adres e-mail, adres IP i cokolwiek innego prywatny na miejscu jest zagrożona. W niektórych miejscach są prawnie zobowiązane do informowania ludzi o tej ekspozycji (na przykład w przypadku stron wymagających HIPAA lub PCI zgodności), jeśli nie również moralnie związany.

Jeśli nie jesteś właścicielem witryny, należy rozważyć, które zainteresowane strony do informowania. Goście na miejscu mogą być narażone na działanie złośliwego oprogramowania. Właściciel powinien brać udział w podejmowaniu decyzji.

W zależności od rodzaju terenu i który podejrzewasz zaatakował go, możesz powiadomić jedną lub więcej grup ścigania. Wiele lokalnych grup ścigania są słabo przystosowane do czynienia z tego rodzaju problemów. Ale być może będą w stanie pomóc lub skierować sprawę do innej grupy ścigania.

Krok 4: Należy wziąć strony w trybie offline?

Ponownie, w zależności od charakteru witryny może chcesz wziąć je w trybie offline. Jeśli podejrzewasz, że aktywnie wykorzystywane do rozpowszechniania złośliwego oprogramowania, wysyłania spamu lub jako punkt obrotu na dalsze ataki następnie biorąc je w trybie offline i zainstalowanie zastępczy będzie przynajmniej zapobiec dalszym szkodom.

Należy zauważyć, że biorąc strony w trybie offline może nie przechylają napastnikowi, że jesteś świadomy ich obecności.

Jeśli nie podjąć witryny w trybie offline na poziomie serwera WWW:

Upewnij się, że masz swoje kryminalistycznych kopię, a następnie usunąć wszystkie sesje.

Jeśli podejrzewasz, że hasła zostały zmienione, można zaktualizować je do nowych wartości przy użyciu kwerendy tak:

użytkownicy Aktualizuj ustawić pass = concat ( 'ZZZ', sha (concat (pass, md5 (rand ()))));

Użytkownicy będą mogli korzystać z funkcji resetowania hasła zmienić swoje hasło.

Krok 5: Rozpocznij bada atak

Niezależnie od wyrzucenia cię z faktu, że były zagrożone jest pierwszym krokiem w badaniu ataku. Jeśli treść strony została zmieniona, e-maile spam zostały wysłane informacje skradzione i wykorzystane w jakimś celu, malware przesłanych do serwisu, bez względu na kompromis - rozważyć, jak atakujący mógłby osiągnąć to. Wymień się każdy sposób można myśleć, że ktoś mógłby dokonać takiej zmiany. Istnieją dwa cele do tego zadania: po pierwsze, pomożesz spostrzeżenia jak zostałeś zaatakowany, więc można zamknąć tę dziurę. Po drugie, można zidentyfikować inne rzeczy atakujący mógłby zrobić w oparciu o środki są wykorzystywane do atakowania witryny. Staram się być kreatywny i nie rzucać żadnych możliwości jako „zbyt trudne” lub „technicznie niemożliwe” - napastnik był prawdopodobnie twórczy, a Twoja strona może nie działać dokładnie tak, jak myślisz, że to robi.

Gdy masz listę sposobów, uruchom próbując zmusić co jest najbardziej prawdopodobne. Który wymaga najmniej wysiłku? Jakie dowody będzie tam dla każdego z nich? Czy widzisz przykłady tych dowodów? Dla każdej metody, jest atak rozsądnym rozwiązaniem dla kogoś zrobić, gdyby tego rodzaju dostęp? Czy jeden wymaga tyle wysiłku, że nie warto?

W razie wątpliwości poprosić o pomoc od kolegi, który może mieć więcej doświadczenia z nim i bezpieczeństwa aplikacji internetowych. Czasami proste ćwiczenia mówienia go przez inną osobę z powierzchni będą dodatkowe pomysły. Dodatkowo, należy przejrzeć listę OWASP Top 10, aby upewnić się, że jesteś świadomy wszystkich różnych rodzajów ataków. Wreszcie okazać się pomocne, aby szukać w Internecie, aby zobaczyć, czy są inni doświadczają podobnego naruszenia. Często te ataki są wykonywane przez roboty, które skanują dużą ilość stron internetowych, więc mogą wystąpić pewne znane sygnatury szukać jak również rozwiązań w celu skorygowania i / lub zmniejszenia luki.

Jeśli masz szczęście, jeden lub dwa z potencjalnych sposobów, aby włamać się będzie oczywistym wyborem. Tak, że blokują słabość!

Sidebar: napastnicy Workflows Too

Tak jak masz workflow dla budowania witryny, napastnicy mają obieg do atakowania witryny. Luźno mówiąc, pierwszy krok, który ma znaczenie dla ciebie jest, kiedy włamali się do serwisu. Często istnieje bot oprogramowanie i / lub grupa ludzi, którzy pracują na tym kawałku i nie zawsze są ludzie, którzy będą wykorzystywać witrynę. Kiedy już ustalone przyczółek, następnym krokiem nie może przyjść za kilka dni lub miesięcy.

Następny jest nauka o miejscu i zdecydować, co z nim zrobić. Jeśli witryna mieści dużą liczbę rachunków lub poufnych danych, które następnie jest zasobem. Jeśli jest to na dużym sieci prywatnej, która następnie staje się coś nowego do badań i eksploatacji. Może to po prostu czysty IP używany do wysyłania spamu. Może to dostaje dużo ruchu i jest dobrym punktem użyć do rozpowszechniania złośliwego oprogramowania. Jeśli nie ma to wysokiej rangi wyszukiwarki silnika może być miejscem, z którego odwołuje się do innych stron i zdobyć renomę search-engine.

Gdy potencjalna wartość swojej strony jest zrozumiałe, że nadszedł czas, aby rozpocząć wykorzystywanie go. Atakujący może zrobić wiele rzeczy w tym samym czasie: zacząć od exfiltrating listy e-mail / hasło, a następnie pozostawić pewne szkodliwe i wyszukiwarkach linków. Jeśli treść jest szczególnie wrażliwe mogą go skopiować, a następnie oczyścić swoje ślady, więc nie podejrzewam jakiekolwiek dane zostały skradzione.

Jeśli widzisz oznak włamania, ale nie szkody, być może zatrzymał proces wcześnie, a może one nadużywane witrynę w taki sposób, że nie pozostawiają śladów, a potem nie zrobić niczego innego.

Gdzie napastnicy wykorzystują systemy Drupal?

index.php, czy naprawdę każdy plik kod

Częstym Hack jest po prostu zmodyfikować plik index.php lub dowolnego kodu w miejscu, takich jak plik szablonu. Sposoby są różne:

  • Wirus na komputerze używany do administrowania serwisem, który wykorzystuje przechowywane poświadczenia w narzędziu FTP edytować i przesyłać pliki (poważnie).
  • Wykonanie dowolnego kodu na serwerze uprawnienia do plików serwerowych i luźnych używany do edycji lub zapisać plik.
  • Dowolna przesyłanie plików, który został wykorzystany do przesłania polecenia powłokę, którą następnie stosuje się do modyfikacji kodu.

Wszystkie pliki z kodem do znanych dobrych kopii, albo w systemie kontroli wersji lub z drupal.org (The hacked! Moduł może pomóc.)

Szukać plików na serwerze, który nie jest częścią swojej znanej Drupal kodzie, np Moduły / system / qseboj.php

Przejrzyj pliki w katalogu „files”, aby upewnić się, że wszystkie są właściwe.

Może to być pomocne w celu dokonania przeglądu połączonego metadane właściciela, grupy, uprawnienia i znaczników czasu jak odcisk palca plików na serwerze. Jeśli większość plików ma jeden odcisk palca i jeden inny plik ma inny odcisk palca (np edytowany o tym, kiedy rozpoczęła atak), które mogą pomóc zrozumieć, co się stało.

Kod wewnątrz interfejsu zawartości lub admina

Php.module w rdzeniu jest bardzo przydatne dla administratorów witryny, aby umieścić mały fragment kodu do interfejsu Drupala aby wariację na zachowanie węzła lub bloku. Jest to także świetny sposób na atakującemu na uruchomienie kodu, co chcą.

Przejrzyj zawartość wszystkich węzłów, bloki, profile użytkowników, pól, itp Jeśli nie można legalnie robić to ręcznie, a potem szukać szkodliwej zawartości.

Moduł import Odwiedzin UI lub zasad lub CDN lub Google Analytics lub kilkudziesięciu innych bardzo popularne moduły wszystkim pozwalają wykonać PHP za pośrednictwem ich interfejsów. Ała. Są to rzadko trwająca sposób witryna jest wykorzystywane, ale może być przydatna w zakresie określania punktu że atakujący dołączonej. Zapoznaj się z drogi do wykonania PHP w interfejsie miejscu i spojrzeć w logi WEBSERVER do odwiedzin tych adresów URL. Czy wizyty ze znanych adresów IP? Są one poza normalnymi godzinami pracy? Znając czas i adres IP atakującego może pomóc powiązać ze sobą kolejne ślady o atakującego od patrzenia w bazie na watchdog.hostname lub comment.hostname.

Nowy użytkownik i / lub nowa rola

Spójrz na te wszystkie role na swojej stronie. Jakie uprawnienia mają one? Które zostały rozszerzone uprawnienia, które mogłyby zostać wykorzystane do przejęcia witryny? Być może nie jest to nowa rola wiesz, że nie uczynił. Czy istnieje jeden użytkownik z tej roli? To prawdopodobnie dostałem e-mail i / lub hasło kontrolowane przez atakującego. Z listy zadań, które mają uprawnienia zaawansowane, przyjrzeć użytkowników na swojej stronie. Czy wiesz, że każdy jeden, który posiada zaawansowane uprawnienia? Podczas gdy jesteś na to: badania użytkowników i usunąć zaawansowanych ról od ludzi, którzy nie mogą ich potrzebować. Blokuje użytkowników, którzy nie są już zaangażowane w zarządzaniu witryny.

Modyfikowanie istniejącego użytkownika

Jak spojrzeć na wszystkich użytkowników na stronie, pamiętaj, aby nie patrzeć tylko na jego nazwę, ale również ich adres e-mail. Czy to ma sens dla tej osoby? Jeśli nie jesteś pewien, zablokować konto i podwójne sprawdzanie osoby. Jeden trick można użyć, aby sprawdzić, czy e-mail nie zmienił ponieważ użytkownik zarejestrowany jest szukanie w bazie danych i porównać users.init z users.mail.

Specjalna uwaga: Chociaż należy szukać w bazie danych, aby pomóc w podejmowaniu decyzji, jeśli witryna została dobrze i prawdziwie zagrożona pamiętać, że napastnik może być modyfikowany dowolnego wiersza lub kolumny w bazie danych. Wykorzystywać znane z pobytu kopii zapasowych bazy danych (jeśli takie istnieją), aby potwierdzić teorie.

W tabeli sesje

Wiele ataków pozostawiać ślady za sobą, ale sesja trwa tylko dopóki użytkownik kliknie wylogowania. Korzystanie z listy ról z zaawansowanych uprawnień, szukać wszystkich sesjach związanych z użytkownikami, którzy mają te role. Czy IP w ich sessions.hostname sensu dla nich? Czy widzisz otwartą sesję dla użytkownika, który uważasz nie jest już zaangażowany w organizacji? Czy widzisz sesję dla zupełnie nowego użytkownika, który nie został utworzony? Sprawdź ilość czasu między gdy użytkownik zalogowany do serwisu wartości users.login a ich ostatnia wizyta strona w session.timestamp: wybrać (s.timestamp - u.login) / 60/60/24, jak days_since_login, u.uid z sesji a wewnętrzna przyłączyć użytkowników U ON s.uid = u.uid; Osoba atakująca może wstawić sesji dla użytkownika, który nie jest zalogowany na długi czas, dzięki czemu jest łatwy do wykrycia ich sesji.

Tabela menu_router

Stół menu_router Drupal pobiera obejrzano dość wcześnie w widoku cyklu żądanie i jest doskonałym miejscem, aby posadzić trochę kodu ataku. Jeśli przypadkowo lub celowo usunięte cache Menu ponieważ rozpoczęcie dochodzenia już utraconą część informacji z tej tabeli, jak robi przebudowany z kodu na swojej stronie w tym procesie. Teraz nie jesteś szczęśliwy, że popełnił kryminalistycznych kopię na początku?

Prostym rozwiązaniem tego żmudnego zadania jest zabrać kryminalistycznych kopię, a następnie porównać go do wersji tabeli menu_router po tym, przebudowany tej tabeli. Czy są jakieś nowe wiersze, wiersze lub brakujące wiersze o różnej treści, które zasługuje na dochodzenie. Można też szukać wspólnych podpisów ataku, takich jak „file_put_contents” lub „dochodzić” w zwrotnego dostępu.

Atakowanie innych stron na tym samym serwerze lub samej sieci

Jeśli ktoś ma kontrolę, włącznie z możliwością wykonanie dowolnego kodu php, mogą potencjalnie rozszerzyć swoją kontrolę do innych witryn podawane z tego samego serwera lub samej sieci. Jeśli nie można znaleźć żadnych wskazówek, w jaki sposób atakujący naruszone witryny, nadszedł czas, aby rozważyć inne drogi, jak innych stron na serwerze lub w sieci. Podobnie, jeśli witryna została naruszona jest to dobra praktyka, aby doradzać innym na serwerze (na przykład przez administratora systemu lub firmy hostingowej), dzięki czemu mogą one przeglądu wszelkich problemów, które mogą mieć wyskoczyło.

Kradzież poufnych informacji

Pomyśl o poufnych informacji wewnątrz swojej strony: adresy e-mail, hashe haseł, adresów IP klienta z strażniczych i komentować stołów, żadnych węzłów, które były ukryte przed niepublikowane lub publicznego dostępu w inny sposób. Ale co jeszcze? Drupal ma wiele zmiennych, które są wewnętrznie prywatny: settings.php zawiera informacje uwierzytelniania bazy danych i prawdopodobnie $ drupal_hash_salt, z których oba są wrażliwe informacje prywatne. Drupal_hash_salt jest wykorzystywany do różnych celów związanych z bezpieczeństwem i mające ten kawałek informacji można łatwiej złamać powrotem na miejscu. Poufnych informacji może także występować wewnątrz systemu zmiennych (zwanego w kodzie z variable_set i variable_get, zwykle przechowywane w tabeli bazy danych o nazwie zmiennej). Drupal_private_key, w szczególności, jest ważnym elementem tajnych informacji, które powinny zostać usunięty (będzie regenerowany następnym razem jest to konieczne). Jeśli witryna korzysta z API 3rd stron takich jak Facebook Connect lub Mollom wówczas API-klucze użyć do uwierzytelniania usługi te są zagrożone. Narażania te klucze 3rd-strona może zrobić własną stronę mniej bezpieczne i narażać swoje konto z tych usług. Jeśli witryna pozwala zalogować się OAuth lub podobnych usług, które zapewniają długotrwałe tokeny, potem tokeny OAuth przechowywane w miejscu należy rozważyć zagrożona.

Jak można rozwiązać ten problem?

  • Wymień wszystkie wrażliwych tajemnic - wygenerować nowy $ drupal_hash_salt, praca z 3rd narzędzi firm unieważnić stare klucze i tworzyć nowe klucze, tworzyć nowe poświadczenia dla bazy danych, itd ..
  • Tam gdzie to możliwe, ograniczyć możliwości powiązanych z jakichkolwiek witryn 3rd partii (na przykład, jeśli nie potrzebują dostępu do posta z Facebookiem w imieniu tej osoby to nie zapytać o to zezwolenie, gdy pojawi się ich FB Połącz tokena).

Krok 6: Ponownie pytanie: naprawiać, przebudowy lub kosza na stronie?

W zależności od tego, co znalazłem być może nadszedł czas, aby ponownie swoją pierwotną decyzję. Jeżeli dostęp atakujący zdobył rozległe i zmiany zrobili rozchodzić. to może być trudne, aby mieć pewność, w doprowadzeniu do witryny w tryb online.

Obejrzyj ten film!

Powiązane artykuły

Obciążenie komentarz hosting DrupalAbdulrahman skomentował 18 lutego 2011 o godzinie 19:23 (do mikeaja) Mam dwie notatki na ten temat: - Drupal 6 jest mniejszy pod względem wymaganych zasobów (zwłaszcza użycie procesora) niż 7, które sprawiają, że jest to przydatne ...
Zalogowany hosting DrupalKażdy użytkownik witryny, czy mają konto i zalogować się lub odwiedzić witrynę anonimowo, jest uważany za łatwy do Drupal. Każdy użytkownik ma również numeryczny identyfikator użytkownika do specjalnego rodzaju ...
log administrator w Drupal hostingKażdy użytkownik witryny, czy mają konto i zalogować się lub odwiedzić witrynę anonimowo, jest uważany za łatwy do Drupal. Każdy użytkownik ma również numeryczny identyfikator użytkownika do specjalnego rodzaju ...
Do druku stron hosting DrupalDrupal jest solidnym Content Management System, który działa na serwerze LAMP. Serwer LAMP wykorzystuje MySQL domyślnie, ale PostgreSQL może być również używany z Drupal. Można go obsługiwać blogi, fora, a ...
Drupal dzielonego hostingu VPS vsWysłany przez davidmac w dniu 21 grudnia 2013 w 11:12 am Istnieje szereg czynników, jak nigdy do rozważenia i uwzględniać z SEO i lokalizacji serwera jest jednym z nich. Lokalny agent nieruchomości ...