Cómo detectar fallos de seguridad en los archivos de registro web alojada

La gran pregunta es siempre la seguridad. ¿Cómo puede usted web alojada punto brechas de seguridad para mantener su sitio seguro y garantizar que no va a conseguir hackeado? La respuesta corta es la siguiente: No se puede.

Todo está hackeable dado el tiempo suficiente, cerebros tortuosos, y recursos. Hay cosas que puede hacer, sin embargo, para protegerse a sí mismo un poco. Pero primero, aquí hay algunas cosas que usted puede hacer para rastrear el origen de sus problemas si usted consigue hackeado.

Lo primero que debe hacer es comprobar los archivos de registro de FTP. En cPanel, los que se encuentran en / home / sucuenta / access-logs /.

Si usted ha sido hackeado, entonces es muy probable que algunos de los archivos han sido alterados. Utilice FTP para mirar los sellos de fecha en sus archivos para ver cuando los afectados Última cambiaron y así averiguar cuando ocurrió el ataque.

A continuación, descargue los registros a su ordenador a través de FTP, como Notepad ++, y abrirlos.

El registro de FTP debe tener líneas de datos que buscan un poco como esto:

Vie 16 de noviembre 2012 11:11:33 0 97.182.220.213 248 /home/daytutor/public_html/.htaccess un _ o daytutor ftp 1 * c

La información en esa línea de datos se desglosa así:

  • Vie 16 de noviembre 2012 11:11:33 es la fecha y la hora, obviamente.

  • 0 es el número de segundos enteros la transferencia tomó. Esta transferencia se llevó menos de un segundo.

  • 97.182.220.213 es la dirección IP del equipo que hizo la transferencia.

  • 248 es el tamaño del archivo transferido (en bytes).

  • /home/daytutor/public_html/.htaccess es el archivo transferido y la ruta completa a la misma.

  • la es el tipo de transferencia. Puede ser tanto la para ASCII o b para binario.

  • _ [subrayado] representa la acción tomada. los _ significa que no hay acción, C significa comprimido, U significa sin comprimir, y T significa empaquetado con tar.

    Tar originalmente significaba ARchive cinta y fue un sistema desarrollado para convertir los datos en una sola corriente de grabación en cintas de respaldo. La tecnología todavía se utiliza hoy en día, pero se utiliza sobre todo para recoger archivos en un único archivo de almacenamiento y almacenarlos en cualquier medio de comunicación. Un archivo tar por lo general tiene la extensión de archivo .alquitrán y es sin comprimir.

    Usted puede utilizar el software de compresión adicional para comprimir .alquitrán archivos, en cuyo caso se cambia la extensión de archivo para indicar lo que el software de compresión se utilizó. Por ejemplo, una .alquitrán archivo comprimido utilizando el programa gzip tendrá la extensión .tar.gz.

  • o es la dirección de la transferencia. los o es para saliente, yo es para entrante, y d es para borrado.

  • r representa el tipo de usuario. r es para un usuario real, y la es de un usuario anónimo. Nota: " Real " no significa humanidad que significa el inicio de sesión utiliza una combinación usuario / contraseña.

  • daytutor es el nombre de usuario utilizado para iniciar sesión.

  • ftp es el servicio utilizado (esto normalmente será FTP).

  • 1 es el método de autenticación. los 1 es un método de autenticación válida según la definición de RFC931. LA 0 significa que no se utilizó la autenticación.

  • * indica el ID de usuario del usuario que realizó la transferencia (si dicho usuario se registra en el servidor en el momento). los * significa que el usuario no se ha iniciado sesión.

  • c es el estado de finalización. LA c significa la transferencia se completó. Un yo significa que estaba incompleta.

En el ejemplo, se puede ver que fue un archivo llamado .htaccess que se transfirió a cabo a través de FTP por el usuario daytutor el 16 de noviembre de 2012, a las 11:11.

Sin embargo, la gran pregunta es quien hizo la transferencia. Todo lo que sé es que la persona que utiliza el nombre de usuario daytutor y contó con la dirección IP 97.182.220.213.

La primera cosa que debes hacer es ir a whatsmyip, que le dirá lo que su dirección IP es así que usted puede comparar los dos. Si la dirección IP en el archivo no es el mismo que el suyo, es posible que la señal de un fallo de seguridad.

Si la dirección IP no es tuyo, ¿alguien más tiene acceso FTP a su servidor? ¿Utiliza un sistema de copia de seguridad en otro servidor que utiliza FTP para conectarse a éste?

Ir a su motor de búsqueda preferido e introduzca la dirección IP. Esto le dará una lista de sitios que pueden mostrar la ubicación geográfica del dispositivo que utiliza esa dirección IP. Si la dirección IP es para un servidor, también debe mostrar el nombre de host del servidor.

También puede ir a un sitio como http://network-tools.com e introduzca la dirección IP allí. Si la dirección IP se conecta con un servidor, puede obtener más información sobre el servidor de herramientas de red.

A continuación, vaya a la configuración del cortafuegos de su servidor y negar que el acceso dirección IP de su servidor. Esto no va a dejar de algunos hackers porque simplemente pueden cambiar las direcciones IP, pero por lo menos se detiene ataques que viene directamente de la dirección IP de nuevo.




» » » » Cómo detectar fallos de seguridad en los archivos de registro web alojada