Website unkenntlich gemacht, was kann ich tun?

Die Website meines Unternehmens wurde unkenntlich gemacht, vorausgesetzt, ich habe das Apache-Raw-Zugriffsprotokoll. Kann ich irgendetwas tun, um zu analysieren, wann und was schief gelaufen ist?

Ich meine, worauf sollte man bei all diesen Tausenden und Abertausenden von Holz achten?

Danke für die Hilfe

DaisetsuDie Antwort ist in den richtigen Zeilen.
Möglicherweise können Sie jedoch einige Analysen durchführen, ohne auch einen Vollzeit-Export zu beauftragen.
Ich füge ein paar Links zu kurzen Artikeln hinzu, die Ihnen einen Überblick darüber geben, was getan werden kann.

1. Fragen zum Web Security-Interview bei WebAppSec
2. Verwenden Sie Ihre Webserver-Protokolle, um gefährdete Webserver bei DigitalOffencive zu finden
3. Was tun nach einer Website-Defacement ?

^{Vorschlag: Wenn Sie diese Frage auf ServerFault verschieben, erhalten Sie möglicherweise gezieltere Antworten darauf, was getan werden kann.}

Wenn ein System kompromittiert / unkenntlich gemacht wird, sind Sie sich nie sicher, ob alles gereinigt wurde, und meiner Meinung nach besteht die beste Lösung immer darin, es neu zu installieren. Sie müssen jedoch einige forensische Untersuchungen durchführen, um zu verstehen, was passiert ist, und um zu verhindern, dass es erneut passiert.

Hier ist eine Liste wichtiger Dinge, die überprüft werden müssen:

• Schauen Sie sich alle Protokolldateien an, die Sie können, insbesondere den Webserver und die Systemdateien. Suchen Sie in den Webserver-Protokolldateien nach Beiträgen
• Führen Sie Rootkit-Checker aus. Sie sind nicht unfehlbar, können Sie aber in die richtige Richtung führen. chkrootkit und besonders rkhunter sind die Werkzeuge für den Job
• Führen Sie nmap von außerhalb Ihres Servers aus und überprüfen Sie, ob an einem Port etwas zu hören ist, das nicht sein sollte
• Wenn Sie eine rrdtool-Trendanwendung haben (wie Cacti, Munin oder Ganglia), schauen Sie sich die Grafiken an und suchen Sie nach einem möglichen Zeitrahmen für den Angriff.
• Überprüfen Sie die Version Ihres Webservers und prüfen Sie, ob Sicherheitsprobleme bekannt sind.

Denken Sie auch immer daran:

• Fahren Sie die Dienste herunter, die Sie nicht benötigen
• Testen Sie Backups regelmäßig
• Folgen Sie dem Prinzip der geringsten Privilegien
• Lassen Sie Ihre Dienste aktualisieren, insbesondere in Bezug auf Sicherheitsupdates
• Verwenden Sie keine Standardanmeldeinformationen

Hoffe das hilft.

Ja, dies wird als Netzwerkforensik bezeichnet. Im Wesentlichen werden Netzwerk- und Serverprotokolle durchsucht, um den Ursprung des Angriffs und die Komprimierung zu ermitteln. Um dies zu tun, benötigen Sie normalerweise einen Forensiker, und selbst wenn Sie herausfinden, was passiert ist, können Sie den Angreifer am schlimmsten verklagen oder ihn einer Straftat beschuldigen. Eine Web-Verunstaltung wird wirklich nicht als großes Verbrechen angesehen, es sei denn, das Unternehmen hat durch den Angriff Geld verloren. Wenn es ernst ist, sollten Sie sich an die zuständige Behörde wenden, die Ihnen bei der Sammlung von Beweismitteln hilft. Hier ist eine Liste der Ansprechpartner für Cyberkriminalität. http://www.justice.gov/criminal/cybercrime/reporting.htm Auch dies gilt nicht als Rechtsberatung.