Sitio web desfigurado, ¿qué puedo hacer?

El sitio web de mi empresa ha sido desfigurado, siempre que tenga el registro de acceso sin procesar de Apache, ¿hay algo que pueda hacer para analizar cuándo y qué salió mal?

Quiero decir, ¿qué buscar entre todas esas miles y miles de líneas de registro?

Gracias por la ayuda

DaisetsuLa respuesta está en las líneas correctas.
Pero es posible que pueda realizar algunos análisis sin contratar una exportación a tiempo completo también.
Estoy agregando un par de enlaces a artículos cortos que le darán una idea general de lo que se puede hacer.

1. Preguntas de la entrevista de seguridad web en WebAppSec
2. Uso de los registros de su servidor web para encontrar servidores web comprometidos en DigitalOffencive
3. ¿Qué hacer después de la desfiguración de un sitio web ?

^{Sugerencia: Mover esta pregunta a ServerFault podría obtener respuestas más directas sobre lo que se puede hacer.}

Cuando un sistema se ve comprometido / desfigurado, nunca está seguro de si todo se limpió y, en mi humilde opinión, la mejor solución es siempre reinstalarlo, pero debe hacer algunos análisis forenses para comprender lo que sucedió y evitar que vuelva a suceder.

Aquí hay una lista de cosas importantes para verificar:

• Eche un vistazo a todos los archivos de registro que pueda, especialmente el servidor web y los del sistema. En los archivos de registro del servidor web, busque publicaciones
• ejecutar correctores rootkit. No son infalibles, pero pueden guiarte en la dirección correcta. chkrootkit y especialmente rkhunter son las herramientas para el trabajo
• ejecute nmap desde fuera de su servidor y verifique si hay algo escuchando en algún puerto que no debería estar
• Si tiene una aplicación de tendencias rrdtool (como Cacti, Munin o Ganglia), eche un vistazo a los gráficos y busque un posible marco de tiempo del ataque.
• verifique la versión de su servidor web y vea si hay problemas de seguridad conocidos al respecto.

Además, siempre tenga esto en cuenta:

• apague los servicios que no necesita
• prueba de copias de seguridad de forma regular
• seguir el principio de menor privilegio
• tener sus servicios actualizados, especialmente con respecto a las actualizaciones de seguridad
• no use credenciales predeterminadas

Espero que esto ayude.

Sí, esto se conoce como Network Forensics. Básicamente, está buscando en los registros de la red y del servidor para encontrar el origen del ataque y lo que se comprimió. Para hacer esto, aunque generalmente necesita un especialista forense, e incluso cuando se entera de lo que sucedió, lo peor que puede hacer es demandar al atacante o acusarlo de un acto criminal. Una desfiguración web realmente no se considera un gran crimen, es decir, a menos que la compañía haya perdido dinero como resultado del ataque. Si es grave, debe comunicarse con la autoridad correspondiente y ellos ayudarán con la recopilación de pruebas. Aquí hay una lista de a quién contactar por delitos cibernéticos. http://www.justice.gov/criminal/cybercrime/reporting.htm Además, esto no cuenta como asesoramiento legal.