Acemi aşamasının ötesinde kimin olduğunu sorabileceğiniz herhangi bir webmaster, en önemli önceliklerinden birinin web sitelerini daima güvende tutacağı konusunda hemfikir olacaktır. Bununla birlikte, bilgisayar korsanlarının kullanabileceği istismar ve araçların sayısı o kadar geniştir ve yazılım teknolojileri o kadar hızlı şekilde gelişmektedir ki, hacklenmiş bir web sitesini deneyimlemeniz çok muhtemel olabilir.

Böyle bir olayı ele alırken, kurtarma işleminizde gerçekleştirilecek görevlerin kısa bir kontrol listesine sahip olmak yararlı olabilir. Doğru şeyleri doğru sırayla yapmak, başarılı ve tam iyileşme şansınızı en üst düzeye çıkarmak ve gelecekteki olayları azaltmak için anahtar olacaktır.

Yapılacaklar Listeniz

Yapılacaklar listeniz 2 tür görev içerir: Hazırlık görevleri ve Eylem görevleri. Hazırlık görevleri web sitenize veya herhangi bir ilgili veya altında yatan bileşenlere HERHANGİ BİR DEĞİŞTİRME yapmaz.

Bu noktayı net bir şekilde anlamak önemlidir, çünkü tercih ettiğiniz İLK eyleminiz hacker’ın sisteme erişmeye devam etmenin bir yolu olmadığından emin olmalıdır; Web sitesini değiştiren DİĞER bir eylem, erişimi engellenmeden önce keşfedilen bilgisayar korsanını uyarabilir ve korsanınızı MORE hasarına maruz bırakmak ya da izlerini kapatmak için tetiklemek istemezsiniz.

Unutmayın: Etkinlik bir kez gerçekleştiğinde, yalnızca düzeltmek için bir neden olarak değil, aynı zamanda sertleşmek ve güvence altına almak için bir motivasyon olarak da değerlendirilmelidir.

  • Hazırla: Reaksiyon planı
  • Hazırla: Savaş sayfası
  • İşlem: Sisteminizi çevrimdışı duruma getirin
  • Hazırlan: Sisteminizi bir test yatağı veya hazırlama sunucusuna klonlayın
  • Hazırlanın: Web sitenizi güvenlik açıklarına karşı tarayın; şüpheli izinsiz giriş noktasını tanımlayın ve onaylayın
  • Eylem: Güvenlik açığını düzeltin
  • İşlem: Sitenin sabit sürümünü tekrar çevrimiçi duruma getirin; mümkün olduğunda, web sitenizin temizlenmiş sürümünü temiz bir işletim sistemi / Web Sunucusu kurulumuna yeniden dağıtmanız gerekir.
  • Hazırlanın: Yeni ve geliştirilmiş web sitenizi izleyin
  • Hazırlanın: GELECEK olayları için bir Reaksiyon Planı hazırlayın.

Hazırlanın: Reaksiyon Planı

Sakin ve odaklanın ve olayın bir süre önce olmuş olabileceğini kabul edin; 30 saniye sonra veya 15 dakika sonra tepki vermeniz farketmez.

Web siteniz saldırıya uğradıktan sonra, olaydan en iyi şekilde yararlanabilmek için bir şeyleri düşünmek birkaç dakikanızı alır. Atmanız gereken tüm adımları yazmak için zaman ayırın:

  • İhlalin nasıl gerçekleştiğini anlamada size en iyi şansı vermek için web sitesinin mevcut durumunu ve altındaki verileri koruyun
  • Bilgisayar korsanının izlerini örtmesi veya daha fazla hasara yol açması konusunda uyaracak hızlı değişiklikler yapmaktan kaçının
  • Web sitesini ve ilgili bileşenleri yönetmek için gerekli bilgi ve araçları toplayın.

Hazırla: Savaş Kağıdı

Savaşa girecekseniz, cephaneliğinizin silahların tamamı ile dolu olduğundan emin olmalısınız. Temel olarak, bu el altında olması anlamına gelir:

  • Web siteniz için ayrıntılara ve ilgili kimlik bilgilerine erişin
  • Web sitesine veya web sitenizin bağlanacağı veya entegre olduğu diğer sistemlere erişimi yöneten bilgiler içerebilecek herhangi bir yapılandırma dosyasının dosya adları ve yolları, örneğin:
    • veritabanı erişim detayları ve kimlik bilgileri
    • üçüncü taraf sistem entegrasyonu ayrıntıları ve ilgili kimlik bilgileri veya API anahtarları veya güvenlik belirteçleri
  • Web sitenizin temelindeki işletim sistemi veya platform için ayrıntılara ve ilgili kimlik bilgilerine erişin
  • Temel donanımları yönetiyorsanız, “ışıklı” erişim araçları için erişim ayrıntılarına ve kimlik bilgilerine (DRAC, ILO, KVM, yerel veya uzak konsol vb.)
  • Telefon numaraları, e-posta adresleri ve size web sunucusu ve altta yatan katmanlardan herhangi birini içeren herhangi bir satıcının, ilgili kod belirteçleri veya PINSTelephone numaraları, sonradan ortaya çıkabilecek kod değişikliklerinde gerçekleştireceğiniz geliştirici kaynakları için e-posta adresleri veya web sitenize diğer programatik düzeltmeler.

İşlem: Sisteminizi Çevrimdışı Hale Getirin

İlk işleminiz sisteminizi çevrimdışına almak olmalıdır. Bunun için faydalar:

  • Bilgisayar korsanının web sitenize verebileceği ilave zararları sınırlandırır
  • Bilgisayar korsanının izlerini örtmesini ya da sizi ya da yöntemlerini ya da her ikisini de size geri getirebilecek kanıtları gizlemesini önler.
  • Sisteminizin başkalarına ek zarar vermesini veya diğer web sitelerinde (spam, Siteler Arası Komut Dosyası vb.) Verilere veya komut dosyalarına erişmesini veya bunlara zarar vermesini önler .

Sisteminizi çevrimdışı duruma getirmeden önce, Çevrimdışı olsa bile sisteme erişmeye devam etmek için Battle Sheet’inizi gerekli tüm bilgilerle dikkatlice derlediğinizden emin olun.

Hazırlanın: Sisteminizi TestBed veya Evreleme Sunucusuna Klonlayın

Araştırma görevlerinizden bazıları, web sitenizde nerede ve nasıl girilebileceğini anlamak için testler yapılmasını içerecektir (bu nedenle, yazılı ifadeler “kalem testi” ve “ kalem testi “). Bu testlerin bazıları agresif olabilir ve web sitesine veya bunun altında yatan verilere veya bu durumda muhtemelen bilgisayar korsanı tarafından sizi kimliğine veya metodolojisine ya da her ikisine götürebilecek herhangi bir esere zarar verebilir.

Bu risklerin etkilerini ortadan kaldırmak için, sisteminizi tamamen ayrı bir test sistemi veya hazırlama sunucusuna klonlayacaksınız. Klonlanmış sisteminize dışarıdan erişilemediğinden ve klonlanmış sisteminizin üçüncü taraflara erişemediğinden veya etkileyemediğinden emin olmak için, bu test yatağı herhangi bir kamu IP Adresi alanından izole edilmelidir. Klonlanmış sistemi test etmek için kullanılan herhangi bir sistem, testleri çalıştırmak amacıyla klonla aynı özel IP Adres alanına bağlanır.

Hazırlanın: Web Sitenizi Güvenlik Açıkları için Tarama

Test platformunuz web sitenizin bir klonu ve ilgili bileşenlerle doldurulduktan sonra, sisteminizi güvenle test edebilirsiniz.

Genellikle aynı anda çalışan iki yönlü bir yaklaşım kullanırsınız:

  • Tüm web sitenizi TÜM olası giriş noktaları için tarayın
  • Bu etkinliğin belirli giriş noktasını arayın.

Otomasyon Kullanarak Tüm Web Sitenizi Tarama

İlk inceleme kanalı, bir sistem denetim yaklaşımı kullanmak olacaktır – Saygın bir Web Güvenlik Açığı Tarayıcısıkullanarak , klonlanmış test yatağınız üzerinde aşağıdakileri yapması gereken bir tarama başlatın:

  • Web sunucusunun ve ilgili yazılımın yanlış yapılandırılmasını tanımlamak
  • Eski ve bilinen güvenlik açığı yazılım sürümleri ( web sunucusu yazılımı ve işletim sistemi, tipik şüphelileri yamalar)
  • Güvensiz güvenlik erişim yöntemleri (örneğin zayıf şifreler veya şifre mekanizmaları)
  • Dosya sistemi konumlarına uygunsuz erişim (dizin görünürlüğü ve izin sorunları gibi)
  • … Ve belirli bilinen güvenlik açıklarını arayan çok büyük bir testler pili.

Bu tarayıcı, web sitenizin maruz kalabileceği güvenlik açıklarının bir listesini sağlayacaktır. Bu tarama türü, özellikle büyük ve karmaşık web siteleri için önemli miktarda zaman alabilir. Bu “bekleme” zamanını…

Manuel olarak bir Giriş Noktası arayın

Bu olayı tetikleyen asıl giriş noktasını bulmak çok önemlidir. Bilgisayar korsanının neden olabileceği herhangi bir zararı ortadan kaldıracak bir yedekten tamamen geri yükleme yapmış olsanız bile, bilgisayar korsanının aynı aracı kullanarak çok hızlı bir şekilde geri dönebileceğini varsaymak makul olur.

Nereye bakmalı? Bu ayrıntılı bir liste değildir ve gerçekten deneyiminiz büyüdükçe ve yönettiğiniz belirli sistemlere daha yakından tanıdıkça, ihtiyaçlarınız için daha kapsamlı ve spesifik bir liste oluşturabileceksiniz. Bununla birlikte, aşağıdaki liste kullanılabilir bir başlangıç ​​noktası sunar. Bu belirli listenin araştırma eylemlerinin test web sitesinde değil, gerçek web sunucusunda gerçekleştirildiğini unutmayın; bu nedenle, şu an için manevralarınızın araştırma ve bilgi toplama ile sınırlı olması önemlidir – zaman için herhangi bir değişiklik yapmayın. olmak.

  • Çalışan işlemlerin bir listesini alın ve şüpheli çalışan uygulama veya hizmetleri arayın.
    • bununla karşılaştırmak için daha önce temiz bir listeniz varsa, çok yararlı olurdu
    • şüpheli çalışan bir program için dosya yolunu tanımlamak, giriş noktasını tanımlamanıza yardımcı olabilir
    • altında şüpheli bir programın çalıştığı kullanıcıyı veya programın sahibi olan kullanıcıyı veya grubu tanımlamak, giriş noktasını belirlemenize yardımcı olabilir.
  • Sisteminiz hacklendiyse, korsanın sisteminizde yeni dosyalar sunmuş veya mevcut dosyaları değiştirmiş olabileceği ÇOK büyük bir olasılık var.
    • Sisteminizde yaptığınız son değişiklik tarihini biliyorsanız, yalnızca son değişikliklerden sonra değiştirilen veya oluşturulan dosyaları bulmak için sisteminizdeki tüm dosyaları kontrol etmekten kurtulabilirsiniz;
    • web sunucunuzun dosya sistemi statik ise, daha önce belgelenmiş bir dosya sistemi dökümü ile karşılaştırmak faydalı olabilir; Eğer bir hesabınız yoksa, son incelemeniz, bu adımı web sitesi güvenliği etrafında dönen gelecekteki politikalar için düşünmek isteyebilir.
    • önceden kurulmamışsa, düzenli olarak bilinen bir temiz dosya sistemi listesine karşı dosya sistemi içeriklerini düzenli olarak kontrol eden bir yazılımı web sunucunuza dağıtmayı düşünebilirsiniz (genellikle bir taban çizgisi olarak adlandırılır); bu kavrama HIDS veya Konak Tabanlı Saldırı Tespit Sistemi denir; web sunucunuzda uygulanacak açık kaynaklı araçların başlangıç ​​seçimi olarak AIDE, syschangemon, Mugsy, Samhain hakkında bilgi okuyarak başlayabilirsiniz.
    • Giriş noktasını belirlemede yardımcı olabileceğinden, oluşturulan veya değiştirilen dosyaların sahibi olan kullanıcıyı veya grubu kontrol edin.
    • Oluşturulan veya değiştirilen dosyaların içeriğini dikkatlice inceleyin; eklenen veya değiştirilen içerikler, failleri ve / veya yöntemlerini tanımlamanıza yardımcı olabilir veya web sitenizin diğer üçüncü taraf web sitelerine saldırı başlatmak için bir platform olarak kullanılıp kullanılmadığını anlamanıza yardımcı olabilir.
  • İşletim sistemi tarafından oluşturulan günlük dosyalarına, web sunucusu yazılımına ve web siteniz tarafından da kullanılan diğer tüm yazılımlara bakın (örneğin, veritabanı sunucuları).

Umarım, günlük dosyalarının, çalışan işlemlerin ve anormal dosya sistemi içeriğinin özenli araştırması, giriş noktasını belirlemenize izin verecektir.

Manuel Sonuçları Otomatik Sonuçlarla Karşılaştırma

Bir veya daha fazla şüpheli giriş noktası tanımladıysanız, bulgularınızı otomatik web güvenlik açığı taraması tarafından belirlenen güvenlik açıkları listesi ile karşılaştırmak ilginç ve öğretici olabilir.

Eylem: Güvenlik Açıklarını Düzeltin

El ile dosya, süreç ve günlük incelemelerinizden edindiğiniz bilgileri kullanarak, web güvenlik açığı tarayıcısı tarafından derlenen güvenlik açığı (umarım kısa) listesiyle birlikte, artık kod geliştirmelerini veya sunucu güncellemelerini uygulamaya koyma ve sertleştirme işlemlerini gerçekleştirebilirsiniz. genellikle web sitenizi daha güvenli hale getirmek için kendisini tekrarlamaktan ve diğer zayıf yönlerden sakınmak. Kısaca özetlenmiştir:

  • Yabancı işlemleri durdurun
  • Herhangi bir yabancı dosyayı veya yürütülebilir dosyayı kaldırın
  • Değiştirilen dosyaları ve veri kümelerini yeni veya sterilize edilmiş sürümlerle değiştirin.

Bu açık görünebilir, ancak otomatik taramayı tekrarlayarak uygulanan düzeltmeleri kontrol etmek ve böylece düzeltmelerin gerçekten etkili olduğunu onaylamak kritik derecede önemlidir.

İşlem: Sabit Web Sitenizi Çevrimiçi Hale Getirin

Artık şüpheli dosyalar ve işlemler durdurulduktan ve ortadan kaldırıldı ve giriş noktaları güvenceye alındığında, web sitenizi tekrar çevrimiçi hale getirebilirsiniz.

Hacker’ın çalışmasını tamamen içerme ve geri alma konusunda herhangi bir şüpheniz varsa, yeni bir web sunucusu ana bilgisayarı dağıtmalı ve temizlenmiş web sitenizi ve yardımcı bileşenlerinizi bu yeni ana bilgisayara yeniden konuşlandırmalısınız.

Hazırlanın: Web Sitenizi İzleyin

Web siteniz yayında ve çalışıyor. Bununla birlikte, çok kolay nefes almayın, çünkü düzeltmelerinizin etkili olduğundan emin olmanız gerekir. Özellikle, sisteme yeni girdiğiniz olayla aynı erişim vektörüyle sisteminize girmeye çalışan bir erken uyarı sistemine sahip olmak için (örneğin, günlük mesajlarını izleyerek) bir yol tasarlamalısınız.

Eğer bilgisayar korsanı geri dönmeyi başarırsa, ya giriş noktasını doğru tanımlamamışsınız ya da hepsini tanımlamamışsınızdır ya da düzeltme yetersizdir; Her durumda, bu son hack olayından tekrar kurtarmak için işlemi tekrarlamanız gerekecektir.

Hazırlanın: Gelecekteki Olaylar İçin Reaksiyon Planı

Bu etkinlikten tamamen kurtulduktan ve bu etkinlikle ilgili tüm görevleri tamamladıktan sonra, bu bölümü tekrar ziyaret etmeli, bu etkinlik için yaptığınız Reaksiyon Planını gözden geçirmeli ve gelecekteki herhangi bir etkinlik için bir kurtarma prosedürü oluşturmak için kullanmalısınız.

Bu, bir sonraki etkinliğinizle daha etkin ve verimli şekilde başa çıkmanıza olanak sağlar.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir