残忍なVPS回復データが利用可能になりました。考慮事項?
バックストーリー
私のサイトとVPSが私から盗まれました。ホスティング会社と私はロックアウトされ、アクセスできませんでした。攻撃者がパスワードをブロックしたため、アクセス用の一時パスワードを作成できませんでした。前回WHMにログインしたとき、ルート制御が行われ、すべてのHDDが起動できなくなりました。同じ人物がワームを使用して自分のデスクトップをリモートで監視していると思います。 5台のPCと5台のモバイルデバイスで、自分のddwrt r7000ルーターをPIA VPNキルスイッチでブリックしました。ダース程度のミント/ ubuntu vmsが引き継がれました。多くのUSBドライブは書き込み専用に作られていました。私は何が起こっているのかを理解しようとするのをやめ、すべてのデバイスを再フォーマットしました。
サーバーイメージとメモリスナップショット、およびrsyncコピーを待機しています。トランザクション時に、新鮮なサーバーイメージが取得されます...確信が持てない場合を除き、確実に異なるIPになります。
今日受け取ったメールは次のとおりです。
Blockquoteこのチケットは私に割り当てられたばかりです。 >ここでのバックアッププロセスの邪魔にならないように、アカウントのバックアップを作成しました。
[2018-03-25] pkgacctが完了しました
私はいくつかの会話を読んでいて、同じページにいることを確認したいだけです。
現在の状態をdd(ビットコピーの場合はビット)することはできません。これは、アカウントにそれを処理できるストレージメディアがないためです。 sshを介してリモートの宛先にrsyncできるキーを追加したい場合は、出力ファイルの宛先を指定してください。喜んでお手伝いします。
特別な関心がない限り、通常、ハッキングされたオペレーティングシステムを保持しません。私が興味深いと思うのは、openVPNソフトウェアです。
uperior.hosting.com [home]#ifconfig as0t0 Link encap:Ethernet HWaddr inet6 addr:Scope:Link UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1 RXパケット:0エラー:0 Dropped:0 overruns:0 frame:0 TXパケット:436367538エラー:0ドロップ:504オーバーラン:0キャリア:0コリジョン:0 txqueuelen:200 RXバイト:0(0.0 b)TXバイト:26310498062(24.5 GiB)
asbr0リンクencap:Ethernet HWaddr inet addr:Bcast:Mask:inet6 addr:Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RXパケット:431222324エラー:0 Dropped:0 overruns:0 frame:0 TXパケット:1492069エラー:0ドロップ済み:0オーバーラン:0キャリア:0コリジョン:0 txqueuelen:0 RXバイト:20595591150(19.1 GiB)TXバイト:634373123(604.9 MiB)
このサーバーを運用Webサーバーとして使用している場合は、CentOS 6のcPanelサーバーを介してVPNを使用する代わりに、CentOS 7を使用して「Cockpit」などをインストールすることをお勧めします。
私たちのサポートの範囲内にあるのは、ベアボーンデータをサルベージしている間、サーバーへのパスとサーバーからのパスがあることを保証することです。いくつかのオプションと質問で締めくくります。 (以下は私の答えです)
Openvpn活動についてのお問い合わせ
彼らに知らせて、もう一度、サーバーイメージのコピー、メモリのスナップショット、および利用可能なすべてのログが必要です。
CPanel/WHMの新規インストール
サイトとVPSの新しいIP
SFTP情報
ブロッククォート
VPN、IDS、ファイアウォール、ハニーポットは十分ですか?何かを省きましたか?
VPSはBluehostからのもので、CentOS 7を実行しており、WordPressの代替手段を備えています...
ほとんどのホスティングプロバイダーは小さなOSイメージを利用できます(その目的は、クライアントがカスタムOSを必要とするときに初期OSインストールを容易にすること、またはOSの起動を妨げるエラーを修正することです。通常、「レスキューシステム」などと呼ばれます)。攻撃者がそこに置く可能性のあるマルウェアを起動することなく、侵害されたVPSを起動してアクセスします。ボリュームをマウントし、必要なすべてのデータをコピーして、自由に調べてください。
これを実行できない場合の唯一の懸念は、攻撃者にそれ以上の攻撃ベクトルを許可しないことです。侵害されたマシンから他のマシンにSSH接続しないでください。SSHエージェント転送やX11転送などを使用していないことを確認してください。対象のファイルをtarで圧縮し、ローカルマシンからtarファイルをscpするだけです。またはssh -C root@compromised-Host cat /dev/the-root-device >compromised-root-dev.img画像をどうするか知っている場合。
または、ホスティングプロバイダーにファイルシステムイメージを作成して何らかの方法で送信するよう依頼することもできます(これは、最初に行ったのと同じ手順になります)。
私はあなたの現在のシステムをどうするかから始めます:
- 入ってすべてのバックアップを取ってください。
- あなたが大きな損失($ 10k +)を示すことができない限り、私は法執行機関を巻き込むことについて考えさえしません。彼らは彼らの手をいっぱいにしていて、インターネット上の現在のパターンを考えると、あなたの犯人があなたとは違う国にいる可能性が非常に高いです。ハッキングされたWordpressサイトの引き渡しプロセスを行う人は誰もいません(申し訳ありませんが、聞き取りにくいのは事実ですが、現実です)。
- 現在のサーバーを地面に焼きます。
- 古いサーバーのすべてのパスワードが危険にさらされていることを考慮してください。
では、この問題が再発しないようにするには、新しいサーバーをどのように構築すればよいでしょうか。私はあなたがあなたの投稿に書いたものに基づいていくつかの仮定をします:
- 複数Wordpressインストール。
- apacheのmod_php
- CPanel/WHM
ここにいくつかの推奨事項があります:
- 新しいサーバーを取得します。
- アプリケーションの新規インストールを行い、strongパスワード/資格情報をセットアップして、古いものとは何もしない。
- 各サイトの公開をできるだけ制限するようにSELinuxを構成します。
- インストールするプラグインwordpressプラグインに注意してください。これらのプラグインは、wordpressコアよりもはるかに悪いセキュリティ実績があります。
- ウェブサーバーによって書き込み可能なディレクトリが、ファイルをPHPとして解釈することは決してしないでください。
- できる限り2要素認証を使用してください。
システムでデジタルフォレンジックを実行できなければ、確実に知ることは困難ですが、私は手足を出して何が起こったのかを推測します。
- 攻撃者は脆弱なWordpressインストールを探してスキャナーを実行します。
- 攻撃者は、サーバーで脆弱なWordpressを見つけます。WebサーバーとしてRCEを取得します。
- wordpressデータベースのパスワードハッシュをダンプします。
- パスワードハッシュをクラックします。そのうちの1つはWHM/CPanelパスワードと一致します。
- CPanelに入ります。おそらく管理者として、またはおそらくCPanelのバージョンには、管理者への権限昇格を可能にするバグがありました。
あなたは報復の恐怖と何度も何度も襲ってきた攻撃者について話します。これが個人的なもの(ある種の復讐)でない限り、私はそれについて心配しません。このような攻撃者は、侵害された次のホストに移動します。彼らにもう一度チャンスを与えないでください。
デビッドの答えは、いくつかの優れた推奨事項を提供しました(私はこれを強くお勧めします)。代わりに、あなたの特定の恐怖を緩和するために私の答えに焦点を当てます。
私が達成したいのは、ハッカーに関する情報をできるだけ多く取得することです。レガシーバックアップをダウンロードしたいのですが。できるだけ早く乗り降りしたいです。
あなたはこの人について可能な限り多くの情報を得たいと言います。彼らが何らかの形の匿名性を使用した場合、これは現実的ではないかもしれません。もちろん、分析後の中断は依然として重要です。最初のステップは、ディスクの完全なバックアップを行うことです。システムが危険にさらされてからまだシステムをシャットダウンしていない場合は、システムのメモリのスナップショットを取得して、後でフォレンジック分析を実行できるようにすることもできます。重要な情報が永続的なストレージに保存されるのを防ぐのは非常に簡単ですが、メモリには、攻撃者に関するはるかに多くの情報が含まれます。このため、無効化されたログがすでに存在し、その後削除されない限り、無効化されたログを取得できない可能性があります。
私の予防策は、killswitched vpnの背後にとどまり、可能な限り時間を費やさないことです。
VPNのアーキテクチャにより、ハッカーがVPNの背後にある元のIPを取得するために使用できる方法はいくつかあります。 Torまたは類似の匿名ネットワークを使用することをお勧めします。あなたが重要な何かを見逃すかもしれないので、できるだけ短い時間を費やすことはお勧めできません。少し長く滞在しても、検出される可能性は高くなりません。ハッカーは、あなたが同じ脆弱性を利用して侵入した別のハッカーであるとさえ思うかもしれません。彼らがあなたに気づいた場合、チャンスは彼らがあなたが誰であると思っているかに関係なく、彼らは単にあなたをサーバーから切り離すでしょう。
特にサーバー側のSSHログには、とにかくホームアドレスが含まれている可能性があります。
これらの無効にされたログを何らかの方法で回復する方法はありますか?この男を当局に変えるのに十分なデータを集めることが目的である場合、他に何を見るべきですか?
ログがdisabledであった場合、ログを取得できない可能性があります。それらがまだ書き込まれているが、単に削除されている場合は、未割り当てのファイルシステム領域からそれらを回復できる場合があります。侵害からシステムがシャットダウンしておらず、システムのメモリの完全なスナップショットを取得できる場合を除いて、ログで提供された情報を取得できない可能性があります。
デイビッドがすでに述べたように、あなたはおそらく法執行機関の関与から多くを得ることはないでしょう。この情報を入手することで得られる最善の方法は、ハッカーがどのように侵入したかを詳しく知ることです。これにより、ハッカーが利用した穴を塞いで将来それを回避することができます。
私の恐れは、再イメージ化されたサーバーと私が実行できるすべての強化があっても、この男は私のサイトドメインを知っており、おそらく再び攻撃することです。これは別の質問であるべきだと思いますが、彼のスキルレベルのためにドメインを完全に放棄しなければならない準備をする必要がありますか?私はそれを行うのが嫌いですが、サーバーとサイトを破壊するためにできる限りのことをしてから、以前と同じように私のホームネットワークとすべてのデバイスを破壊することを恐れます。
正直なところ、報復を心配する必要はありません。あなたは彼らの活動の単なるランダムな担保であり、慎重に選ばれた犠牲者ではありません。彼らはおそらく一週間であなたのドメインを覚えていません。もちろん、これらは一般化されたものであり、あなたに対して個人的な復讐を持つ実際の敵がいる場合、状況は少し異なります。攻撃者に当てはまる可能性のある分類がいくつかあります。
好奇心-好奇心が強いため、またはハッキングスキルを向上させたいためにサイトに侵入するハッカーは、アクションの結果をほとんど考慮せずにそうすることがよくありますが、彼らはあなたを捕まえようとしません。それらをロックアウトすると、彼らは戻る方法を見つけたいと思うかもしれませんが、彼らはおそらく怒っていないでしょう。彼らはそれを挑戦と見ることさえできた。
Criminal-純粋に犯罪的なハッカーは、お金やデジタルリソースなどのサーバーを攻撃することで得られるものを持っています。彼らは復讐で時間を無駄にしません。これらの攻撃者は水のようなものです。彼らは最も抵抗の少ない道を探します。
自動化-personがサイトを攻撃していない可能性が非常に高いです。犯罪組織は利益を最大化したいと考えているため、より効率的に攻撃を自動化することがよくあります。スクリプトはインターネットをスキャンして脆弱なサービスを探し、攻撃する可能性があります。侵入後、それは彼らの汚い仕事をして、持続性を確立しようとします。スクリプトを怒らせることはできません。
Script kiddie-Script kiddieは、すべてを知っていると考えるジュニアハッカーです。彼らはあなたが個人的なものとしてあなたのサーバーを回復するあなたの行動を取るかもしれないので、彼らは復讐を求める可能性が高くなります。彼らはあなたのホームネットワークに実際に害を及ぼすのに必要なスキルを持っていません。彼らができる最悪のことはあなたをDDoSしようとすることです。それらについて心配しないでください。
個人的な敵-あなたに対して個人的な復讐をした実際の敵がいる場合、あなたはもっと心配する必要があります。これが事実であることを示していないので、そうではないと思います。
可能性は彼のスキルレベルがあなたが思うほど高くないことです。 Wordpressサイトに侵入してバックドアを追加しても、専門家はかかりません。そのため、ドメインを削除することについて心配する必要はありません。絶対にです別の回答で与えられたアドバイスを使用して、このハッカーから保護することができます。他の誰かのサイトがあなたよりも脆弱であるとすぐに、ハッカーは先へ進みます。
この場合、攻撃者がどのようにして侵入できたかがわからないため、完全に再インストールしても、まったく同じことが再び発生することを心配する必要があります。この問題に対処するには、システムをリモートロギング用に構成する必要があります。専用の別のコンピューターが改ざんできないシステムログを保存します。通常のシステムログに加えて、リアルタイムのコピーをロギングサーバーに送信するように、また関連するセキュリティを送信するように、Webサーバーアクセスログを構成する必要があります。ログは、1つが大きくなりすぎて他のユーザーに影響を与えないように削減する必要がある場合に分離する必要があります。
あなたは彼らがどのように侵入したのか知りません。あなた自身のコンピュータが危険にさらされ、パスワードが傍受された可能性があります。 VPSプロバイダーの誰かがそれにアクセスした可能性があります。または、あなたと一緒に別のVPSを借りている誰かが何かを悪用した可能性があります。それらが起こらなかったと仮定すると、次のステップは、すべての脆弱性が新しいインストールで更新されることを確認してから、SELinuxなどのセキュリティソフトウェアを設定することです。 SELinuxポリシー違反がリモートロギングサーバーに送信されていることを確認してください。
私の予防策は、killswitched vpnの背後にとどまり、可能な限り時間を費やさないことです。
それはinfosec voodooです。 PATを備えたルーターの背後にいると想定すると、攻撃者はあなたに接続する方法がありません。実際、VPNはPATレイヤーを通過するトンネルを作成するため、実際にそれを使用することで露出を増やしています! (とはいえ、VPNポリシーはインバウンド接続を妨げる可能性があります。)
さらに大きなリスクは、攻撃者が侵害されたシステムに引き続きアクセスできる場合、パスワードの入力は危険です。つまり、SSHインタラクティブログインまたはSudoパスワードが、侵害されたシステムのrootユーザーによって盗まれる可能性があります。公開鍵認証を設定している場合は、Sudoを使用しない限り安全に使用できますが、バックアップに関する以下の注意を参照してください...
ベストプラクティスは、侵入先のマシンからハードドライブを取り外し、個別のマシンでフォレンジック分析することです(専門家は forensicブロッカーを書き込む )。これにより、攻撃者は干渉することができなくなります。
VPSのお客様は、これを自分で行うことはできません。 (同じハードウェア上の他のテナントを混乱させる可能性が低いため)プロバイダーがあなたに代わって喜んでそれを行わない限り、VPSを削除してゼロから始める方がよいでしょう。
うまくいけば、バックアップと[切り取り]から必要なものを入手できる
バックアップは常に別のシステムに保存する必要があります。唯一のバックアップが侵害されたサービスに保存されている場合、あなたは非常に悪い立場にいることになります。バックアップを取得するためにパスワードを入力する必要がある場合、攻撃者はパスワードを盗むことができます。
パスワードを入力する必要がない場合(公開鍵認証など)でも、すでに侵害されたデータを復元することになります。攻撃者が以前にいくつかのバックドアをインストールした場合、そのバックドアはバックアップに保存され、そのバックドアを新しいサーバーに復元することになります。または、攻撃者が他の手段を使ってシステムを危険にさらした場合、イメージを再作成した後でアクセスを回復するために、バックアップにバックドアを挿入する可能性があります。
これらの無効にされたログを何らかの方法で回復する方法はありますか?
はい、フォレンジック分析を使用して削除されたログデータを回復することは可能ですが、上記の理由により、これが利用可能なオプションである可能性は低いです。
別の方法として、プロバイダーは、システムに接続しているIPアドレスに関するログを保持している場合があり、ユーザーが適切に尋ねれば、そのデータを喜んであなたと共有する可能性があります。
私の恐れは、再イメージ化されたサーバーと私が実行できるすべての強化があっても、この男は私のサイトドメインを知っており、おそらく再び攻撃することです。
「ドメイン」の意味がよくわかりません。パスワードが安全なものにリセットされていれば、既存のホスティングアカウントとドメイン名を保持できます。
最も可能性の高いシナリオは、WordPressまたはプラグインの1つ(または自分で作成した場合はカスタムコード)のパッチが適用されていない脆弱性が原因で侵害されたということです)。 、ゼロから始め(データのバックアップを使用しないでください)、すべてのアプリケーションとプラグインが最新バージョンであることを確認する必要があります。絶対に不要なプラグインは無効にしてください。
少し頭がおかしいようです。複雑なソフトウェアを自分で管理していて、以前の侵害がどのように発生したのかわかりません。おそらく、WordPress.comを介したホスティングなど、より優れたパッチとセキュリティを提供するプロバイダーにサイトを移動して、責任が100%ないようにする必要があります。
これらの無効にされたログを何らかの方法で回復する方法はありますか?
はい。
仮想マシン全体が自分のものであり(他の人と共有していない場合)、仮想マシン全体のバックアップを取得します。すぐにそれをしてください。これには、マシンにあるすべてのログが含まれます。
また、Bluehostに、関連するログを提供するよう依頼してください。ログを失わないように、すぐに実行してください。 (多くの場所は時間の経過とともにログを循環させますので、誰かが潜在的に興味深いと考えられるログを保存することを知っていることを確認してください。)
次に、安全な機械を操作することに焦点を当てます。 (BlueHostが言及するように、これにはおそらくOSのリロードが含まれます。)データが安全であることを確認してください。 (たとえば、データにアカウントに関する情報が含まれていて、攻撃者がアクセスを得るために使用するアカウントが含まれている場合、これは安全ではありません。)安全なマシンに、重要な安全なデータを使用させる。できるだけ早くすべてを実行してください。
この男を当局に変えるのに十分なデータを集めることが目的である場合、他に何を見るべきですか?
この攻撃者はどこから来たのですか?この攻撃者は誰ですか?
フォレストが指摘するように、「当局」はあまり気にかけないようです。おそらく、他の侵害されたマシンに攻撃された可能性があります。したがって、そのマシンを所有している人も被害者であり、その人を法的に攻撃しようとしても、おそらく誰にとってもあまりメリットはありません。あなたがしなければならないことは、実際に攻撃を開始した人を追いかけることです。残念ながら、いくつかのリダイレクト方法が可能なため、攻撃者の多くは現実的に追跡できません。
私の恐れは、再イメージ化されたサーバーと私が実行できるすべての強化があっても、この男は私のサイトドメインを知っており、おそらく再び攻撃することです。
うん。それが心配です。人が止まるまで、そのような可能性があります。うまくいけば、次の攻撃を防ぐのに成功するでしょう。継続的な教育と努力によって、あなたはその時点に到達するはずです。それまでの間は、アクセス可能な適切なバックアップを用意し、バックアップから復元できることを知って夜はぐっすりとお休みください。
これは別の質問であるべきだと思いますが、彼のスキルレベルのためにドメインを完全に放棄しなければならない準備をする必要がありますか?
いいえ。屈服しないでください。
私はそれをするのが嫌いですが、サーバーとサイトを破壊するために彼ができる限りのことをすると彼は恐れます、
これは、サーバーをより安全に保護しないと発生する可能性があります。それに時間を費やすようにしてください。また、適切なバックアップがあることを確認してください。 Bluehostを信頼しないでください。 Bluehostについて悪いことを言うつもりはありません。 1つのバックアップソリューションだけを信頼するのではなく、問題が予想される場合は特にと言っています。
次に、以前と同様に、ホームネットワークとすべてのデバイスを破壊します。
ああ、今それはひどいです。プロのホスティングサイトで実行されているリモート仮想マシンが損傷して、ホームネットワークに影響を与えるのはなぜですか?それが発生した場合、いくつかの重大なセキュリティ問題があります。
これはそれだけの価値がありますか?彼は彼がしたことよりもはるかに悪い能力があり、私は報復を恐れています。
Webサイトのバックアップを取得します。
ホームネットワーク上の重要なデータのバックアップを取得します。
それをうまくやれば、窃盗が可能になったとしても(機密情報のコピーが盗まれる可能性があります)、回復することができます。
Webサーバードライブのイメージを取得するだけです。新しい仮想マシンにマウントしても、重大な危険が発生することはほとんどありません。マウントされたドライブからのコードは実行されるべきではありません、あなたはあなたの暇な時にデータを熟読できます。
リモートアクセスプロトコルを使用して危険にさらされたマシンに接続することは、間違いなく安全ではありません。サーバーは常に侵害される可能性がありますが、悪意のあるサーバーに接続するクライアントソフトウェアが悪用される可能性があります(悪用が存在する場合)。
マウントされたドライブのコンテンツからWebコンテンツを復元することは、お勧めできません。コードファイルへの変更は、非常に隠されていて見つけにくい場合があります。 PHPを使用すると、次のVPSマシンへのバックドアを簡単に提供できます...
SQLデータベースの内容は、Webサイトへの訪問者を攻撃するコードを含むように変更される可能性があります。
あなたが本当にあなたのサイトを強化したい場合WordPressを取り除きます。静的なサイトジェネレーター(Gatsby、Jekyllなど)で素晴らしいことが行われています。
ここで言及した情報の一部として-これらの危険にさらされた認証情報をどこかで使用した場合それ以外の場合必須パスワードを変更します。できれば、KeepassやLastpassのような、生成されたランダムなパスワードをいくつでも保護できる優れたツールを使用する必要があります。覚えておく必要があるのは、1つのメインパスフレーズだけです。