Como manchar violações de segurança em arquivos de log das suas Hosted Web
A grande questão é sempre a segurança. Como você pode web local hospedado violações de segurança para manter seu site seguro e garantir que ele não vai ser hackeado? A resposta curta é esta: Você não pode.
Tudo é hackable dado tempo suficiente, cérebros tortuosos, e recursos. Há coisas que você pode fazer, no entanto, para proteger-se um pouco. Mas, primeiro, aqui estão algumas coisas que você pode fazer para rastrear a fonte de seus problemas se você hackeado.
A primeira coisa a fazer é verificar seus arquivos de log FTP. No cPanel, aqueles são encontrados em / home / YourAccount / access-logs /.
Se você tiver sido cortada, então é mais provável que alguns de seus arquivos foram alterados. Use FTP para olhar os carimbos de data em seus arquivos para ver quando os afetados foram modificado pela última vez e, assim, descobrir quando o ataque aconteceu.
Em seguida, baixar os logs para o seu computador via FTP, como Notepad ++, e abri-los.
O registro de FTP deve ter linhas de dados que procuram um pouco como este:
Qua Dez 16 11:11:33 2012 0 97.182.220.213 248 /home/daytutor/public_html/.htaccess um _ o r daytutor ftp 1 * c
As informações nessa linha de dados decompõe assim:
Fri 16 de novembro 11:11:33 2012 é a data ea hora, obviamente.
0 é o número de segundos inteiros A transferência teve. Esta transferência demorou menos de um segundo.
97.182.220.213 é o endereço IP do computador que fez a transferência.
248 é o tamanho do ficheiro de transferência (em bytes).
/home/daytutor/public_html/.htaccess é o arquivo transferido eo caminho completo para ele.
uma é do tipo de transferência. Ela pode ser tanto uma para ASCII ou b para binário.
_ [Sublinhado] representa a ação tomada. o _ significa nenhuma ação, C significa comprimido, você significa não-comprimido, e T significa tar'ed.
Tar originalmente significava fita de arquivamento e foi um sistema desenvolvido para a conversão de dados em um único fluxo para a gravação em fitas de backup. A tecnologia ainda é usado hoje, mas é principalmente utilizado para recolher arquivos em um único arquivo e armazená-los em qualquer mídia. Um arquivo tar normalmente tem a extensão de arquivo .alcatrão e é descompactado.
Você pode usar o software de compressão adicional para comprimir .alcatrão arquivos, caso em que a extensão do arquivo é alterado para indicar o software de compressão foi utilizado. Por exemplo, uma .alcatrão arquivo compactado utilizando o programa gzip terá a extensão .tar.gz.
o é a direcção da transferência. o o é para saída, Eu é por entrante, e d é suprimida para.
r representa o tipo de usuário. r é para um usuário real, e uma é para um usuário anônimo. Nota: # 147-Real # 148- não significa humanidade que significa o login usou uma combinação nome de usuário / senha.
daytutor é o nome de usuário usado para efetuar login.
ftp é o serviço usado (isso normalmente será FTP).
1 é o método de autenticação. o 1 é um método de autenticação válido, tal como definido por RFC931. UMA 0 significa nenhuma autenticação foi usada.
* indica o ID de usuário do usuário que fez a transferência (se disse usuário estivesse conectado ao servidor no momento). o * significa que o usuário não foi identificado.
c é o estado de conclusão. UMA c significa a transferência estar completa. A Eu significa que ele estava incompleta.
No exemplo, você pode ver que foi um arquivo chamado .htaccess que foi transferido usando FTP por usuário daytutor em 16 de Novembro de 2012, às 11:11.
No entanto, a grande questão é quem fez a transferência. Tudo o que sei é que a pessoa usou o nome de usuário daytutor e tinha o endereço IP 97.182.220.213.
A primeira coisa que você deve fazer é ir para whatsmyip, que irá dizer-lhe que o seu endereço IP é para que você possa comparar os dois. Se o endereço IP no arquivo não é a mesma que a sua, pode sinalizar uma falha de segurança.
Se o endereço IP não é seu, faz qualquer pessoa tem acesso FTP ao seu servidor? Você usa um sistema de backup em outro servidor que usa FTP para se conectar a este?
Vá para o seu motor de busca preferido e digite o endereço IP. Isto lhe dará uma lista de sites que podem mostrar-lhe a localização geográfica do dispositivo que usa esse endereço IP. Se o endereço IP é para um servidor, ele também deve mostrar o nome do servidor.
Você também pode ir para um site como o https://network-tools.com e digite o endereço IP lá. Se o endereço IP está conectado com um servidor, você pode obter mais informações sobre o servidor de ferramentas de rede.
Em seguida, vá para as configurações do firewall do seu servidor e negar que o acesso de endereços IP para o servidor. Isso não vai parar alguns hackers, pois eles podem simplesmente mudar endereços IP, mas pelo menos ele pára ataques provenientes directamente de que o endereço IP novamente.