Frage:
Brutalisierte VPS-Wiederherstellungsdaten jetzt verfügbar. Überlegungen?
Preston Bennett
2018-03-05 00:27:01 UTC
view on stackexchange narkive permalink

Hintergrundgeschichte
Meine Websites und VPS wurden mir gestohlen. Das Hosting-Unternehmen und ich waren ausgesperrt und konnten nicht darauf zugreifen. Sie konnten kein temporäres Kennwort für den Zugriff erstellen, da der Angreifer es blockiert hat. Als ich das letzte Mal bei WHM angemeldet war, wurde die Root-Kontrolle übernommen und alle Festplatten waren nicht mehr bootfähig. Ich glaube, dieselbe Person hat einen Wurm verwendet, um meinen Desktop aus der Ferne zu überwachen. 5 PCs und 5 mobile Geräte, die meinen ddwrt r7000-Router mit PIA VPN-Killswitched gemauert haben. Etwa ein Dutzend Minze / Ubuntu-VMS wurden übernommen. Viele USB-Laufwerke wurden nur zum Schreiben erstellt. Es war unerbittlich. Ich habe aufgehört, herauszufinden, was los war, und alle Geräte neu formatiert.

Ich warte jetzt auf das Server-Image und einen Speicher-Snapshot sowie eine Rsync-Kopie. Bei einer Transaktion erhalte ich ein neues Server-Image ... sicherlich von einer anderen IP, es sei denn, sie sind nicht zu überzeugen.

Hier ist die E-Mail, die ich heute erhalten habe:

Blockquote Dieses Ticket wurde mir gerade zugewiesen. Ich habe eine Sicherung des Kontos> außerhalb der Sicherungsvorgänge hier erstellt.

[2018-03-25] pkgacct abgeschlossen

Ich habe gerade gelesen Einige der Konversationen und möchten nur sicherstellen, dass wir uns auf derselben Seite befinden.

Wir können den aktuellen Status nicht dd (Bit für Bit kopieren), da das Konto kein Speichermedium hat, das damit umgehen kann es. Wenn Sie Schlüssel hinzufügen möchten, die wir über ssh zu einem Remote-Ziel synchronisieren können, geben Sie uns einfach das Ziel der Ausgabedatei und wir helfen Ihnen gerne dabei.

Normalerweise behalten wir keine gehackten Betriebssysteme bei in der Nähe, es sei denn, es besteht ein besonderes Interesse. Was ich interessant finde, ist die openVPN-Software:

uperior.hosting.com [home] # ifconfigas0t0 Verbindungskapsel: Ethernet HWaddr inet6 addr: Umfang: Link UP BROADCAST RUNNING PROMISC MULTICAST MTU: 1500 Metric: 1 RX-Pakete : 0 Fehler: 0 gelöscht: 0 Überläufe: 0 Frame: 0 TX-Pakete: 436367538 Fehler: 0 gelöscht: 504 Überläufe: 0 Träger: 0 Kollisionen: 0 txqueuelen: 200 RX-Bytes: 0 (0,0 b) TX-Bytes: 26310498062 (24,5 GiB)

asbr0 Link-Encap: Ethernet HWaddr inet addr: Bcast: Mask: inet6 addr: Scope: Link UP BROADCAST RUNNING MULTICAST MTU: 1500 Metrik: 1 RX-Pakete: 431222324 Fehler: 0 verworfen: 0 Überläufe: 0 Frame: 0 TX-Pakete: 1492069 Fehler: 0 verworfen: 0 Überläufe: 0 Träger: 0 Kollisionen: 0 txqueuelen: 0 RX-Bytes: 20595591150 (19,1 GiB) TX-Bytes: 634373123 (604,9 MiB)

Wenn Sie diesen Server als Produktions-WebServer verwenden, würde ich empfehlen, CentOS 7 zu verwenden und so etwas wie 'Cockpit' zu installieren, anstatt ein VPN über ein cPanel zu verwenden Server unter CentOS 6.

Unser Support umfasst die Sicherstellung, dass Sie einen Pfad zum und vom Server haben, während Sie die Barebone-Daten retten. Ich werde mit einigen Optionen und Fragen schließen. (Das Folgende sind meine Antworten.)

  1. Eine Anfrage zum openvpn activitu

  2. Wenn ich sie wieder wissen lasse, möchte ich eine Kopie des Server-Images, eines Speicher-Snapshots und aller verfügbaren Protokolle

  3. Neuinstallation von cPanel / WHM

  4. Neue IPs für Websites und VPS

  5. SFTP-Informationen

    6. ol>

    Blockquote

    Hat ein VPN, IDS, Firewall, Honeypot genug? Habe ich etwas ausgelassen?

    VPS ist ein Produkt von Bluehost, auf dem CentOS 7 mit einer Alternative zu WordPress ausgeführt wird ...

Lange Frage, aber im Wesentlichen fragen Sie, ob es möglich wäre, Protokolle zu erstellen, die seit ihrer Deaktivierung nicht mehr geschrieben wurden.Dies ist nicht möglich, es sei denn, Sie haben eine Zeitmaschine, um die Protokolle vor dem Angriff zu aktivieren, da dies bedeuten würde, zuverlässige Informationen aus dem Nichts zu erstellen.Und dann ist die einzige andere Frage, nach Vorschlägen zu fragen, damit es nicht wieder vorkommt: Finden Sie heraus, wie der Angriff überhaupt stattgefunden hat, und stellen Sie sicher, dass dieser Weg (und alle anderen) geschlossen sind.Es gibt nicht viel mehr zu sagen, da Ihr genaues Setup im Wesentlichen unbekannt ist.
Zunächst sollten Sie eine Kopie Ihres gefährdeten Servers erhalten, z.als VM- oder Disk-Image.Identifizieren Sie dann den Angriffsvektor.Sobald Sie es haben, beheben Sie die Sicherheitsanfälligkeit, erstellen Sie ein neues Image Ihres Servers a.k.a. "Nuke it from orbit", wie von Ihrem Anbieter empfohlen, und stellen Sie Ihre Website erneut aus dem Quellcode bereit.Überprüfen Sie die Datensicherung, bevor Sie sie wiederherstellen.Eine Instanz eines Hacks ist zwar unpraktisch, sollte aber nicht tödlich sein, wenn Sie die Löcher entsprechend verschließen.Holen Sie sich wenn möglich die notwendige Hilfe von Experten.
Soweit der Täter vor Gericht gestellt wird, ist dies eine Aufgabe für Experten der digitalen Forensik, und selbst dann gibt es keine Garantie für ein Ergebnis.Ich wäre eher besorgt, als erste Bestellung oder Aktion wieder im Geschäft zu sein.
Es wäre hilfreich, mehr über das Betriebssystem und einige Details zu Ihrem VPS zu erfahren.Ist es ein OpenVZ VPS?In diesem Fall ist root keine echte root.Ist es eine KVM Linux VM?Dann ist es für die meisten praktischen Zwecke wie echte Hardware.
_WordPress auf Bluehost _... Nun, deshalb wurdest du gehackt.Holen Sie sich einen besseren Hosting-Anbieter.Und wenn Sie die Aktualisierung von WordPress-Kern, Plugins und Themes nicht proaktiv verwalten, wenden Sie sich an einen Dienst, der dies erledigt.
Woher weißt du, dass er fähiger ist als er?Was lässt Sie denken, dass dieser Angriff speziell auf Sie abzielt und nicht nur auf Ihre veraltete WordPress-Installation?Wenn die Antwort lautet, weiß ich nicht: Davids Antwort wird Ihr Best-Practice-Ansatz sein, und es macht keinen Sinn, darüber den Schlaf zu verlieren.
Sie fragen sich im Grunde, wie Sie eine Schulung zu digitaler Forensik und Reaktion auf Vorfälle erhalten können.Um ehrlich zu sein, würde es eine ziemlich lange Antwort erfordern, die für dieses Q & A-Format nicht wirklich geeignet ist.
* Was ich erreichen möchte, ist, so viele Informationen wie möglich über den Hacker zu erhalten. * Als korrigan und andrea l.bereits gesagt, verschwenden Sie nicht Ihre Zeit damit.Sie sind wahrscheinlich kein forensischer Experte, Sie werden nur Ihre Zeit verschwenden und Sie sollten niemals zulassen, dass Ihre Handlungen durch Rache bestimmt werden.
@ChrisNevill Die englische Sprache ist eine germanische Sprache und weist bei der Verwendung von Pronomen zwangsläufig Mehrdeutigkeiten auf, und die Bedeutung von Pronomen ist kontextabhängig."Er" ist die _de rigueur_ in der modernen Schrift.Es wird oft anstelle von "sie" verwendet, was zu mehr semantischer Verwirrung führen kann, da es (ab) als Singular verwendet wird.Das am häufigsten verwendete Pronomen ist daher der geschlechtsunbestimmte semantische Singular "er".
@forest du bist der Held, den wir nicht verdienen :-) @OP: nuke es aus dem Orbit!/ s ist die Sicherheit des VPS für Sie oder das Hosting-Unternehmen, das es an Sie vermietet?Das macht einen großen Unterschied.
@JanDoggen Ich finde es nicht fair vorzuschlagen, dass ich möchte, dass alle seine / WHOEVER-Informationen zu ihm zurückkehren.Eines Tages, wenn es Zeit und Geld gibt, bezahle ich jemanden für forensische Arbeiten, damit es dem FBI möglicherweise auf einem Silbertablett serviert wird, damit möglicherweise jemand anderes es vermeiden kann, durch das Chaos zu gehen, das ich habe.
Autsch.Nuke es aus dem Orbit und mache die mühsame Aufgabe, jedes einzelne Bit deines Servers gepatcht und manisch konfiguriert zu halten: - /
@Alex Cannon Mein Wortlaut war möglicherweise irreführend, wie ich mich tatsächlich in der Situation fühle.Ich wusste, dass der Hack sehr, sehr schlecht war und es völlig vernünftig schien, nicht die Mühe zu machen, Daten für eine spätere Analyse zu sichern.Um ehrlich zu sein, der Angriff könnte niemals von einer eigenen Quelle des Eindringlings stammen.Trotzdem - Wer weiß, welche spätere forensische Analyse auftauchen könnte.Die Daten für eine spätere Analyse nicht zu haben, erscheint angesichts ihrer möglichen Lebensfähigkeit dumm.
@Andrea Lazzarotto Nein, ich habe überhaupt nicht nach forensischen Analysetechniken gesucht.Es gab keine Ausarbeitung, wie mit diesen Daten verfahren werden soll - nur, dass ich es wirklich will.Es ist meins zu erhalten und oben zu sehen.
@Preston Bennett Das Problem ist, dass alle Daten von beliebigem Wert möglicherweise manipuliert werden, da sie auf demselben System gespeichert wurden, das kompromittiert wurde, sodass sie wertlos sind.Ich verstehe nicht, was Sie unter "Quelle des eigenen Eindringlings" verstehen.
@Alex Cannon Ich stimme voll und ganz zu, dass alle verbleibenden Daten mit irreführenden Informationen durchsetzt sein könnten, außer ich arbeite auf demselben komprimierten System.Was ich mit einer eigenen Quelle gemeint habe, ist eine, die nicht von zahlreichen VPS- und Amazon / Google-URLs abprallt und dass eine persönliche IP gefunden wird.Es ist ein Prinzip durchzuhalten, wenn die Zeit reif ist.Es wurde viel zu spät klar, dass ich zu viel Zeit damit verbracht hatte, herauszufinden, was genau passiert war.Es lohnt sich nicht, aber jemand anderes kann später hilfreiche Beweise vorlegen.
Acht antworten:
David
2018-03-05 01:15:57 UTC
view on stackexchange narkive permalink

Ich beginne damit, was mit Ihrem aktuellen System zu tun ist:

  1. Steigen Sie ein und sichern Sie alles.
  2. Es sei denn, Sie können major demonstrieren Verluste (über 10.000 USD), ich würde nicht einmal darüber nachdenken, Strafverfolgungsbehörden einzubeziehen. Sie haben alle Hände voll zu tun, und angesichts der aktuellen Muster im Internet ist es sehr wahrscheinlich, dass sich Ihr Täter in einem anderen Land befindet als Sie. Niemand wird ein Auslieferungsverfahren für gehackte Wordpress-Sites durchführen. (Entschuldigung, ich weiß, dass es schwer zu hören ist, aber es ist die Realität.)
  3. Brennen Sie den aktuellen Server zu Boden.
  4. Betrachten Sie jedes Passwort auf Ihrem alten Server als gefährdet.
    5. ol>

    Wie können Sie nun einen neuen Server erstellen, um zu verhindern, dass dies erneut geschieht? Ich werde einige Annahmen treffen, die auf dem basieren, was Sie in Ihrem Beitrag geschrieben haben:

  • Mehrere Wordpress-Installationen.
  • mod_php auf Apache
  • CPanel / WHM

Hier einige Empfehlungen:

  1. Holen Sie sich Ihren neuen Server.
  2. Führen Sie eine Neuinstallation Ihrer Anwendungen durch und richten Sie sie ein starke Kennwörter / Anmeldeinformationen, die nichts mit Ihren alten zu tun haben.
  3. Konfigurieren Sie SELinux so, dass die Gefährdung jeder Site so weit wie möglich begrenzt wird.
  4. Sei vorsichtig, welche WordPress-Plugins du installierst. Sie haben eine viel schlechtere Sicherheitsbilanz als WordPress Core.
  5. Stellen Sie sicher, dass Verzeichnisse, die vom Webserver beschreibbar sind, niemals Dateien als PHP interpretieren.
  6. Verwenden 2-Faktor-Authentifizierung für alles, was Sie können. ol>

    Ohne digitale Forensik auf Ihrem System durchführen zu können, ist es schwer zu wissen, aber ich werde mich auf die Nerven legen und raten, was passiert ist:

    1. Der Angreifer führt einen Scanner aus, der nach anfälligen Wordpress-Installationen sucht.
    2. Der Angreifer findet anfällige Wordpress-Dateien auf Ihrem Server. Ruft RCE als Webserver ab.
    3. Gibt Kennwort-Hashes für WordPress-Datenbanken aus.
    4. Knackt Kennwort-Hashes, von denen einer mit einem WHM / CPanel-Kennwort übereinstimmt.
    5. Geht in CPanel. Vielleicht als Administrator, oder vielleicht hatte die Version von CPanel einen Fehler, der eine Eskalation von Berechtigungen für den Administrator ermöglicht.
      6. ol>

      Sie sprechen von Angst vor Vergeltungsmaßnahmen und dem Angreifer, der Ihnen immer wieder nachkommt. Wenn dies nicht persönlich ist (eine Art Rache), würde ich mir darüber keine Sorgen machen. Angreifer wie dieser wechseln einfach zu ihrem nächsten kompromittierten Host. Gib ihnen nur keine weitere Chance.

Ich würde empfehlen, eine vollständige Sicherung des gehackten Systems zu erstellen (z. B. über rsync -va host: / / copy_of_hacked_system --exclude / sys --exclude / proc --numeric-ids) und einen detaillierten Unterschied zum neuen System durchzuführen.Wenn es auf derselben Betriebssystemversion usw. eingerichtet ist, kann dies bereits einen Hinweis darauf geben, was heimlich geändert wurde.
@rackandboneman Wenn das System nicht heruntergefahren wurde, würde ich auch empfehlen, einen vollständigen Speicher-Snapshot des Systems für eine spätere Analyse zu erstellen.Es kann eine Menge mehr auftauchen, als Sie auf der Festplatte finden.
Konkrete Ratschläge zu Passwörtern: Wenn wir stark sagen, meinen wir ** lang und zufällig **.Speichern Sie sie in einer (möglicherweise gemeinsam genutzten) Kennwortdatenbank. Diese sollten jedoch meistens Dienstauthentifizierer sein und müssen nur in einer Datei gespeichert werden.
Stellen Sie außerdem sicher, dass Sie transparent sind und Ihre Benutzer darauf hinweisen, dass ihr Konto möglicherweise kompromittiert wurde.Es wurden nicht nur Sie gehackt, alle Ihre Benutzer haben jetzt wahrscheinlich ihre E-Mail-Adresse zusammen mit den persönlichen Informationen, die Ihre Website in einer Datenbank gespeichert hat, die der Angreifer in Zukunft verwenden wird.Jeder muss seine Passwörter ändern, und nicht nur auf Ihrer Website ... Seien Sie nicht der Typ, der versucht, die Tatsache zu verbergen, dass Sie monatelang oder jahrelang kompromittiert wurden.
Hängt davon ab, ob das Server-Image, das Sie erhalten, in einem Format vorliegt, das Sie mit einem angeschlossenen Rettungssystem-Medium bereitstellen und / oder starten können.
@Drunken Code Monkey Nur unter diesen Umständen bin ich froh, dass ich nur wenige Benutzer / Verkehr hatte.Ich habe einen sehr umfassenden SSA-Leitfaden für Behinderte erstellt, und dieser Typ hat ihn sofort zum Absturz gebracht, als die Freiwilligen eintrafen, als mir klar wurde, dass meine SEO und Versuche der Website nicht gerecht werden würden.
@David bedankt sich vielmals für das Detail und die Einfachheit.atforest atrackandboneman vielen Dank für die weitere Anleitung
forest
2018-03-05 09:14:02 UTC
view on stackexchange narkive permalink

Davids Antwort gab einige ausgezeichnete Empfehlungen (denen ich sehr empfehlen kann, dass Sie folgen). Ich werde meine Antwort stattdessen auf Ihre spezifischen Ängste konzentrieren, um sie zu lindern.

Was ich erreichen möchte, ist, so viele Informationen wie möglich über den Hacker zu erhalten. Ich möchte meine Legacy-Backups herunterladen. Ich möchte so schnell wie möglich ein- und aussteigen.

Sie sagen, Sie möchten so viele Informationen wie möglich über diese Person erhalten. Dies ist möglicherweise nicht praktikabel, wenn sie irgendeine Form von Anonymität verwendet haben. Die Analyse nach der Pause ist natürlich immer noch wichtig. Der erste Schritt wäre eine vollständige Sicherung der Festplatte. Wenn Sie das System noch nicht heruntergefahren haben, seit es kompromittiert wurde, können Sie möglicherweise auch eine Momentaufnahme des Speichers auf dem System erstellen, um später eine forensische Analyse durchführen zu können. Der Speicher enthält weitaus mehr Informationen über den Angreifer, da er nicht zuverlässig steuern kann, was im Speicher verbleibt, während sehr einfach verhindert werden kann, dass wertvolle Informationen in einem dauerhaften Speicher gespeichert werden. Aus diesem Grund ist es wahrscheinlich, dass Sie die deaktivierten Protokolle nur erhalten können, wenn sie bereits vorhanden sind und anschließend gelöscht wurden.

Meine Vorsichtsmaßnahmen bestehen darin, hinter einem Killswitched-VPN zu bleiben und so wenig Zeit wie möglich zu verbringen

Aufgrund der Architektur von VPNs gibt es eine Reihe von Methoden, mit denen Hacker die ursprüngliche IP hinter einem VPN abrufen können. Die Verwendung von Tor oder einem ähnlichen Anonymitätsnetzwerk wäre vorzuziehen. Es ist möglicherweise nicht ratsam, so wenig Zeit wie möglich zu verbringen, da Sie möglicherweise etwas Wichtiges verpassen. Ein bisschen länger zu bleiben erhöht nicht die Wahrscheinlichkeit, dass Sie entdeckt werden. Der Hacker könnte sogar denken, dass Sie ein anderer Hacker sind, der dieselbe Sicherheitsanfälligkeit ausgenutzt hat. Wenn sie Sie bemerken, werden Sie wahrscheinlich einfach vom Server getrennt.

Die serverseitigen SSH-Protokolle enthalten wahrscheinlich ohnehin Ihre Privatadresse. P. >

Gibt es eine Möglichkeit, diese deaktivierten Protokolle irgendwie wiederherzustellen? Worauf sollte ich noch achten, wenn das Ziel darin besteht, genügend Daten zusammenzustellen, um diesen Kerl in die Behörden zu verwandeln?

Wenn die Protokolle deaktiviert wären, können Sie dies wahrscheinlich nicht rufe sie ab. Wenn sie noch geschrieben, aber nur gelöscht wurden, können Sie sie möglicherweise aus dem nicht zugewiesenen Dateisystemspeicher wiederherstellen. Wenn das System seit dem Kompromiss nicht heruntergefahren wurde und Sie keine vollständige Momentaufnahme des Systemspeichers erstellen können, ist es unwahrscheinlich, dass Sie die in den Protokollen angegebenen Informationen abrufen können.

Wie David bereits erwähnt hat, werden Sie wahrscheinlich nicht viel davon bekommen, wenn Sie Strafverfolgungsbehörden einbeziehen. Das Beste, was Sie aus diesen Informationen herausholen können, ist, mehr darüber zu wissen, wie der Hacker eingebrochen ist, damit Sie das von ihnen ausgenutzte Loch schließen und in Zukunft vermeiden können.

Meine Angst ist Selbst mit einem neu abgebildeten Server und all der Härtung, zu der ich in der Lage bin, kennt dieser Typ meine Site-Domains und wird wahrscheinlich erneut angreifen. Ich nehme an, dies sollte eine separate Frage sein, aber sollte ich mich darauf vorbereiten, meine Domains aufgrund seines Könnens ganz aufgeben zu müssen? Ich hasse es, es zu tun, aber ich fürchte, er wird alles tun, um den Server und die Sites wieder zu zerstören, und dann wie zuvor mein Heimnetzwerk und alle Geräte zerstören.

Ehrlich gesagt müssen Sie sich keine Sorgen um Vergeltungsmaßnahmen machen. Sie sind nur zufällige Sicherheiten für ihre Aktivitäten, kein sorgfältig ausgewähltes Opfer. Sie werden sich wahrscheinlich in einer Woche nicht einmal mehr an Ihre Domain erinnern. Natürlich sind dies Verallgemeinerungen, und wenn Sie einen tatsächlichen Feind mit einer persönlichen Rache gegen sich haben, sind die Dinge etwas anders. Es gibt einige mögliche Klassifizierungen, die zu Ihrem Angreifer passen könnten:

  • Neugierig - Ein Hacker, der in eine Site einbricht, weil er neugierig ist oder seine Hacking-Fähigkeiten verbessern möchte, tut dies oft ohne Rücksicht auf die Ergebnisse seiner Aktionen, aber das sind sie nicht raus, um dich zu kriegen. Wenn Sie sie aussperren, möchten sie vielleicht einen Weg finden, wieder hineinzukommen, aber sie werden wahrscheinlich nicht böse sein. Sie könnten es sogar als Herausforderung ansehen.

  • Krimineller - Ein rein krimineller Hacker kann durch den Angriff auf Server wie Geld oder digitale Ressourcen etwas gewinnen . Sie werden keine Zeit mit Rache verschwenden. Diese Angreifer sind wie Wasser. Sie suchen den Weg des geringsten Widerstands.

  • Automatisiert - Es ist sehr wahrscheinlich, dass keine Person Ihre Website angegriffen hat. Ein kriminelles Unternehmen möchte die Gewinne maximieren. Um effizienter zu sein, automatisieren sie häufig Angriffe. Ein Skript kann das Internet nach anfälligen Diensten durchsuchen und diese angreifen. Nach dem Einbruch erledigt es seine Drecksarbeit und versucht, die Persistenz herzustellen. Sie können ein Skript nicht verärgern.

  • Skriptkind - Ein Skriptkind ist ein Junior-Hacker, der glaubt, alles zu wissen. Es ist wahrscheinlicher, dass sie sich rächen, weil sie möglicherweise die Wiederherstellung Ihres Servers als persönlich ansehen. Sie verfügen nicht über die erforderlichen Fähigkeiten, um Ihrem Heimnetzwerk echten Schaden zuzufügen. Das Schlimmste, was sie tun können, ist zu versuchen, Sie zu DDoS. Mach dir keine Sorgen um sie.

  • Persönlicher Feind - Wenn Sie einen tatsächlichen Feind mit einer persönlichen Rache gegen sich haben, müssen Sie sich mehr Sorgen machen . Da Sie keinen Hinweis darauf gegeben haben, dass dies der Fall ist, gehe ich davon aus, dass dies nicht der Fall ist.

Die Chancen stehen gut, dass seine Fähigkeiten nicht so hoch sind, wie Sie denken. Das Eindringen in eine Wordpress-Site und das Hinzufügen einer Hintertür erfordert keinen Fachmann. Daher würde ich mir keine Sorgen machen, Ihre Domains loszuwerden. Es ist absolut möglich, sich vor diesem Hacker zu schützen, indem Sie den Rat in einer anderen Antwort verwenden. Sobald die Website einer anderen Person anfälliger ist als Ihre, geht ein Hacker weiter.

Ich würde Script Kiddies nicht als "Hacker" bezeichnen, weil das so ist, als würde man jemanden, der eine Glühbirne installieren kann, als Elektriker bezeichnen.Meistens führen sie nur Skripte aus und geben die Ausgaben manuell an andere Skripte weiter, möglicherweise mit manuellem FTP-Einsatz. Wenn Sie mit Ihren Sicherheitspatches Schritt halten und nichts zu Dummes tun, sind Skriptkinder selten eineProblem.
"Es gibt eine Reihe von Methoden, mit denen Hacker die ursprüngliche IP hinter einem VPN erhalten können." Mein Verständnis von VPNs ist, dass Internetdienstanbieter Ihre echte IP-Adresse finden können, andere Websites und Benutzer jedoch nicht.Wie würde ein Hacker Ihre echte IP finden?Könnten Sie einen Link zu einem Beispiel angeben?Vielen Dank.
Es ist falsch, eine "Script Kiddie" -Haltung mit einer "Script Kiddie" -Fähigkeitsstufe zu verknüpfen.Es gibt keine Garantie dafür, dass jemand mit mehr Geschick eine reifere Einstellung hat.
@wizzwizz4 Beachten Sie, dass manchmal lokale Gesetze und / oder Eigentumsbestimmungen vorschreiben, dass nur zugelassene Elektriker (manchmal sogar nur diejenigen, die der Gewerkschaft angehören) Glühbirnen installieren dürfen.Dies war in Teilen Australiens bis 1998 der Fall und könnte in bestimmten Umgebungen wie Messen, Krankenhäusern und bestimmten gemeinsamen Wohnräumen immer noch der Fall sein.
@LateralTerminal Im Allgemeinen bringt Sie ein VPN in einen Pool mit einer Reihe anderer Personen im selben NAT (da VPNs so funktionieren).Diese anderen Personen können Sie dann häufig über eine lokale Adresse sehen, sodass sie Netbios-Tests senden oder manchmal sogar eine Verbindung zu Diensten auf Ihrem Computer herstellen können.Insbesondere PIA ist dafür anfällig, da einzelne Benutzer nicht voneinander isoliert werden.Sie können auch lsrr verwenden, um die tatsächliche Adresse einer Person zu ermitteln, da viele kommerzielle VPNs Hardware verwenden.Darüber hinaus gibt es immer das Problem des TCP / IP-Stack-Fingerabdrucks, der über VPNs funktioniert.
@PrestonBennett Jemand, der so viele Geräte angreift, impliziert einen sehr engagierten Angreifer, der eine Rache gegen Sie hat.Übrigens ist Kali selbst sehr unsicher.Verwenden Sie es nicht, wenn jemand versucht, Sie anzugreifen.
@forest Können Sie einen Link bereitstellen, der dies erklärt, damit ich dies weiter untersuchen kann?Ich glaube dir, aber ich möchte bitte ein Zitat.:) :)
@LateralTerminal Es sind nicht viele Informationen online verfügbar.Die Seite für [p0f] (http://lcamtuf.coredump.cx/p0f) enthält einige Informationen zum TCP / IP-Fingerabdruck.Den Rest habe ich aus einem Gespräch mit HD Moore bekommen.Da Sicherheitsforscher VPNs nicht häufig für "Datenschutz" verwenden (beachten Sie, dass "privat" im virtuellen privaten Netzwerk sich auf von IANA reservierte Adressen bezieht, nicht auf "Datenschutz"), besteht für sie anscheinend nur ein geringer Anreiz, viel zu recherchierendarauf, obwohl es ziemlich oft von Laien benutzt wird.Ich schlage vor, Sie durchsuchen das Metasploit-Framework nach lsrr-bezogenen Tools.
Ich bin sicher, wenn Sie ihn kontaktieren, wird er mehr Details geben als ich.Er sagte, er wolle keinen öffentlichen Blog-Beitrag oder eine ähnliche Beschreibung schreiben, weil er der Meinung ist, dass VPNs Schlangenöl sind und kommerziellen VPN-Unternehmen keine Ratschläge geben wollen (wenn ich mich erinnere, was er richtig gesagt hat), obwohl dies nicht der Fall istwie diese beinhalten 0 Tage oder geheime Techniken.Es erfordert nur ein sehr gutes Verständnis der Vernetzung.
@PrestonBennett Diese Hintergrundinformationen sind für diese Situation ziemlich relevant und helfen zu unterscheiden, "jemand hat eine Rache gegen mich, wie gehe ich mit diesem Aspekt um" und "Ich wurde zum ersten Mal gehackt und bin derzeit in Panik"(im letzteren Fall ist die Sorge um VPNs / etc. beim Wiederherstellen des Servers wahrscheinlich übertrieben, daher ist dies eine relevante Unterscheidung).Ich würde definitiv vorschlagen, ein bisschen davon in der ursprünglichen Frage zu bearbeiten, um den Kontext bereitzustellen!
@forest das ist ziemlich beunruhigend, wenn auch nicht allzu überraschend.Ich wusste nur, dass Win-Push-Benachrichtigungen Ihr VPN unbrauchbar machen, wenn Ihre CPU im Besitz ist.Ich könnte falsch liegen.nur das Bestehen einer lebensfähigen Quelle.Ich habe auf der Website für immer nach dem massiven XLS-Dokument gesucht, in dem alle VPNs, ihre Gerichtsbarkeiten usw. und PIA aufgeführt sind, und ein anderes, das mir entgeht, hat mich als das Beste empfunden.Haben Sie einen Vorschlag für den zukünftigen Ersatz von PIA?
@PrestonBennett Das Beste, was ich mir vorstellen kann, ist das Einrichten eines eigenen VPN auf einem VPS (da Sie seitdem kein Risiko eingehen, Informationen an andere Benutzer weiterzugeben, wenn Sie diese nicht freigeben).Wenn das nicht möglich ist, dann vielleicht Mullvad?Zumindest der Besitzer dieses VPN ist ein Pentester und kennt diese Probleme wahrscheinlich.
Alex Cannon
2018-03-05 01:38:54 UTC
view on stackexchange narkive permalink

In diesem Fall wissen Sie nicht, wie der Angreifer eintreten konnte. Sie können also zu Recht befürchten, dass genau dasselbe erneut passiert, selbst wenn Sie eine vollständige Neuinstallation durchführen. Um dieses Problem zu beheben, sollten Sie Ihr System für die Remote-Protokollierung konfigurieren. Ein dedizierter separater Computer speichert Systemprotokolle, die nicht manipuliert werden können. Sie sollten Ihr Webserver-Zugriffsprotokoll so konfigurieren, dass zusätzlich zum regulären Systemprotokoll eine Echtzeitkopie an den Protokollierungsserver sowie alle sicherheitsrelevanten Elemente gesendet werden. Die Protokolle sollten getrennt sein, damit die anderen nicht beeinträchtigt werden, wenn eines zu groß wird und gekürzt werden muss.

Sie wissen nicht, wie sie eingegangen sind. Ihr eigener Computer könnte kompromittiert werden und das Passwort könnte abgefangen worden sein. Jemand vom VPS-Anbieter hätte darauf zugreifen können, oder jemand, der neben Ihrem einen anderen VPS mietet, könnte etwas ausgenutzt haben. Unter der Annahme, dass diese Dinge nicht geschehen sind, besteht der nächste Schritt möglicherweise darin, sicherzustellen, dass alle anfälligen Elemente bei der neuen Installation aktualisiert werden, und anschließend Sicherheitssoftware wie SELinux zu konfigurieren. Stellen Sie sicher, dass Verstöße gegen SELinux-Richtlinien an den Remote-Protokollierungsserver gesendet werden.

Danke für deinen Beitrag.Die Remote-Protokollierung wird auf jeden Fall implementiert.
Mark E. Haase
2018-03-05 21:19:58 UTC
view on stackexchange narkive permalink

Meine Vorsichtsmaßnahmen sind, hinter einem Killswitched-VPN zu bleiben und dort so wenig Zeit wie möglich zu verbringen.

Das ist infosec voodoo. Angenommen, Sie befinden sich mit PAT hinter einem Router, hat der Angreifer keine Möglichkeit, eine Verbindung zu Ihnen herzustellen. Tatsächlich erstellt das VPN einen Tunnel durch die PAT-Schicht, sodass Sie Ihre Exposition tatsächlich erhöhen, indem Sie ihn verwenden! (Obwohl die VPN-Richtlinie möglicherweise eingehende Verbindungen verhindert.)

Das weitaus größere Risiko besteht darin, dass die Eingabe Ihres Kennworts gefährlich ist, wenn der Angreifer weiterhin Zugriff auf das gefährdete System hat, dh die interaktive SSH-Anmeldung oder das Sudo-Kennwort könnte von einem Root-Benutzer auf dem gefährdeten System gestohlen werden. Wenn Sie die Authentifizierung mit öffentlichem Schlüssel konfiguriert haben, ist dies sicher zu verwenden, solange Sie kein sudo verwenden. Beachten Sie jedoch meinen Hinweis zu Sicherungen ...

Die beste Vorgehensweise besteht darin, die Festplatte zu entfernen Fahren Sie vom gefährdeten Computer aus und analysieren Sie ihn forensisch auf einem separaten Computer (ein Fachmann würde einen forensischen Schreibblocker verwenden), damit der Angreifer nicht eingreifen kann.

Als VPS-Kunde können Sie dies nicht selbst tun. Wenn Ihr Provider nicht bereit ist, dies für Sie zu tun (unwahrscheinlich, da dies andere Mandanten auf derselben Hardware stören würde), sollten Sie den VPS besser löschen und von vorne beginnen.

Hoffentlich kann ich das bekommen Was ich von Backups und [snip]

benötige Backups sollten immer auf einem separaten System gespeichert werden. Wenn Ihre einzigen Backups auf dem gefährdeten Dienst gespeichert sind, haben Sie sich in eine sehr schlechte Position gebracht. Wenn Sie ein Kennwort eingeben müssen, um zu den Sicherungen zu gelangen, kann der Angreifer Ihr Kennwort stehlen.

Selbst wenn Sie kein Kennwort eingeben müssen (z. B. Authentifizierung mit öffentlichem Schlüssel), würden Sie Daten wiederherstellen, gegen die bereits verstoßen wurde. Wenn der Angreifer zuvor eine Hintertür installiert hätte, würde diese Hintertür in den Backups gespeichert und Sie würden diese Hintertür auf Ihrem neuen Server wiederherstellen! Wenn der Angreifer das System auf andere Weise kompromittiert hat, hat der Angreifer möglicherweise eine Hintertür in Ihre Backups eingefügt, um nach dem erneuten Image wieder Zugriff zu erhalten.

Gibt es eine Möglichkeit dazu Diese deaktivierten Protokolle irgendwie wiederherstellen?

Ja, es ist möglich, gelöschte Protokolldaten mithilfe der forensischen Analyse wiederherzustellen. Aus den oben genannten Gründen ist dies jedoch wahrscheinlich keine verfügbare Option für Sie.

Alternativ kann Ihr Provider Protokolle darüber haben, welche IP-Adressen mit seinen Systemen verbunden sind, und er ist möglicherweise bereit, diese Daten mit Ihnen zu teilen, wenn Sie freundlich fragen.

Ich befürchte, dass dieser Typ trotz eines neu abgebildeten Servers und all der Härtung, zu der ich in der Lage bin, meine Site-Domains kennt und wahrscheinlich erneut angreifen wird.

Ich bin es nicht wirklich sicher, was du mit "Domains" meinst. Sie können Ihr vorhandenes Hosting-Konto und Ihre Domain-Namen beibehalten, vorausgesetzt, Ihr Passwort wurde auf etwas Sicheres zurückgesetzt.

Das wahrscheinlichste Szenario ist, dass Sie aufgrund einer nicht gepatchten Sicherheitsanfälligkeit in WordPress oder einem Ihrer Plugins kompromittiert wurden (oder benutzerdefinierten Code, wenn Sie selbst etwas davon geschrieben haben). Um zukünftige Kompromisse zu vermeiden, müssen Sie bei Null anfangen (keine Datensicherung verwenden) und sicherstellen, dass alle Ihre Anwendungen und Plugins die neueste Version sind. Deaktivieren Sie alle Plugins, die Sie nicht unbedingt benötigen.

Es hört sich so an, als wären Sie etwas über Ihrem Kopf. Sie verwalten komplexe Software selbst und wissen nicht, wie der vorherige Kompromiss aufgetreten ist. Vielleicht sollten Sie Ihre Website zu einem Anbieter verschieben, der bessere Patches und Sicherheit bietet, z. B. Hosting über WordPress.com, damit die Verantwortung nicht zu 100% bei Ihnen liegt.

Viele hilfreiche Einblicke und Vorschläge.Ihre Bemühungen werden geschätzt.Was die Domain angeht, wer hat versucht, sie zu verkaufen, und ich habe sie im letzten Moment gefangen ... Gibt es noch andere Alternativen zu wordpress.com?Ich bin jetzt besser in der Lage, eine Site jetzt sicher zu halten, obwohl ich zugeben werde, dass es ungefähr einen Monat gedauert hat, bis meine EC3-Instanz heruntergefahren wurde.Dies ist natürlich wahrscheinlich auf ein manipuliertes Backup zurückzuführen, obwohl ich alle offensichtlichen Dinge durchkämmt habe.Aber nein, ich bin nicht so gut.Zumindest habe ich den Inhalt zurückbekommen, so dass die Seite, die nur dazu gedacht ist, anderen zu helfen, bald zurück sein wird.Irgendwelche anderen Hosting-Vorschläge?
Roman Odaisky
2018-03-05 23:53:38 UTC
view on stackexchange narkive permalink

Die meisten Hosting-Anbieter stellen ein kleines Betriebssystem-Image zur Verfügung (mit dem die Erstinstallation des Betriebssystems erleichtert werden soll, wenn ein Client ein benutzerdefiniertes Betriebssystem wünscht, oder um Fehler zu beheben, die das Booten des Betriebssystems verhindern; normalerweise als "Rettungssystem" oder ähnliches bezeichnet) Sie können booten und Zugriff auf das gefährdete VPS erhalten, ohne jemals Malware zu starten, die die Angreifer dort abgelegt haben könnten. Sie mounten einfach Ihre Volumes, kopieren alle erforderlichen Daten und überprüfen sie nach Belieben.

Wenn Sie dies nicht tun können, besteht Ihr einziges Anliegen darin, den Angreifern keine weiteren Angriffsvektoren zu gewähren. Stellen Sie sicher, dass Sie keine SSH-Agentenweiterleitung, X11-Weiterleitung und dergleichen verwenden. Tarieren Sie einfach die interessanten Dateien und scpen Sie dann die TAR-Datei von Ihrem lokalen Computer. Oder machen Sie etwas wie ssh -C root @ kompromittierter Host cat / dev / the-root-Gerät >compromised-root-dev.img , wenn Sie wissen, was mit dem Bild zu tun ist.

Oder bitten Sie den Hosting-Anbieter, ein Dateisystem-Image zu erstellen und es Ihnen auf irgendeine Weise zu senden (was dem gleichen Verfahren entspricht, mit dem ich begonnen habe).

Wenn Sie den Hosting-Anbieter davon überzeugen, ein Dateisystem-Image Ihres VPS für Sie zu erhalten, starten diese entweder ihr Rettungs-OS-Image (was Sie möglicherweise selbst tun können) oder melden sich bei dem Computer an, auf dem sich das VPS befindet, und lesen es einfachdie Daten (die Sie sicherlich nicht können), abhängig von der Virtualisierungstechnologie.
Bluehost ließ den Ball schwer fallen, als er mir dieses Bild zur Verfügung stellte.5 Telefonanrufe an alle technischen Spezialisten der Stufe 3 und kein Bild wurde jemals gesendet.Nie wieder BH.Ich wünschte, ich hätte Ihre Methode ausprobieren können, da sie von größtem potenziellen Wert zu sein scheint und Raum für eine ordnungsgemäße Aushärtung usw. lässt.
TOOGAM
2018-03-05 11:26:37 UTC
view on stackexchange narkive permalink

Gibt es eine Möglichkeit, diese deaktivierten Protokolle irgendwie wiederherzustellen?

Ja.

Wenn die gesamte virtuelle Maschine Ihnen gehört (und Sie nicht) Geben Sie eine Sicherungskopie Ihrer gesamten virtuellen Maschine ab. Mach das sofort. Dies schließt alle Protokolle ein, über die Ihr Computer verfügt.

Fragen Sie Bluehost auch nach den relevanten Protokollen, die sie bereitstellen können. Tun Sie das sofort, damit sie die Protokolle nicht verlieren. (An vielen Stellen werden Protokolle im Laufe der Zeit ausgefahren. Stellen Sie daher sicher, dass jemand Protokolle aufbewahrt, von denen angenommen wird, dass sie potenziell interessant sind.)

Konzentrieren Sie sich dann darauf, eine sichere Maschine betriebsbereit zu machen. (Wie BlueHost erwähnt, handelt es sich wahrscheinlich um ein erneutes Laden des Betriebssystems.) Stellen Sie sicher, dass Ihre Daten sicher sind. (Wenn Ihre Daten beispielsweise Informationen zu Konten enthalten und ein Konto enthalten, über das der Angreifer Zugriff erhält, ist dies nicht sicher.) Lassen Sie diesen sicheren Computer die von Ihnen geschätzten sicheren Daten verwenden. Tun Sie das alles so schnell wie möglich.

Worauf sollte ich noch achten, wenn das Ziel darin besteht, genügend Daten zusammenzustellen, um diesen Kerl in die Behörden zu verwandeln?

Woher kommt dieser Angreifer? Wer ist dieser Angreifer?

Wie Forest feststellt, ist es unwahrscheinlich, dass sich "Behörden" darum kümmern. Möglicherweise wurden Sie von einer anderen kompromittierten Maschine angegriffen. Daher ist die Person, die diese Maschine besitzt, auch ein Opfer, und der Versuch, diese Person legal anzugreifen, wird wahrscheinlich niemandem viel nützen. Was Sie tun müssen, ist, nach der Person zu suchen, die den Angriff wirklich initiiert hat. Da mehrere Umleitungsmethoden möglich sind, sind viele Angreifer leider nicht nachvollziehbar.

Ich befürchte, dass dies auch mit einem neu abgebildeten Server und all der Härtung, zu der ich in der Lage bin, möglich ist Der Typ kennt meine Site-Domains und wird wahrscheinlich erneut angreifen.

Ja. Das ist ein Problem. Bis die Person gestoppt wird, gibt es ein solches Potenzial. Hoffentlich können Sie die nächsten Angriffe erfolgreicher verhindern. Fortlaufende Schulungen und Bemühungen sollten Sie an diesen Punkt bringen, hoffentlich eher früher als später. Stellen Sie in der Zwischenzeit sicher, dass Sie über gute, zugängliche Sicherungen verfügen und nachts gut schlafen, da Sie wissen, dass Sie die Sicherung wiederherstellen können.

Ich nehme an, dies sollte eine separate Frage sein, aber ich sollte mich darauf vorbereiten dafür, dass ich meine Domains aufgrund seiner Fähigkeiten ganz aufgeben muss?

Nein. Gib nicht nach.

Ich hasse es, es zu tun, aber ich fürchte, er wird alles tun, um den Server und die Websites wieder zu zerstören,

Dies kann passieren, wenn Sie den Server nicht erfolgreicher sichern. Versuchen Sie, Zeit damit zu verbringen. Stellen Sie außerdem sicher, dass Sie gute Backups haben. Vertraue nicht nur Bluehost. Ich versuche nicht, etwas Schlechtes über Bluehost zu sagen. Ich sage, vertraue nicht nur einer Sicherungslösung, besonders , wenn Probleme zu erwarten sind.

Dann gehe wie zuvor vor, um mein Heimnetzwerk und alle Geräte zu zerstören.

Oh, das ist einfach schrecklich. Warum würde eine Beschädigung einer virtuellen Remote-Maschine, die auf einer professionellen Hosting-Site ausgeführt wird, Ihr Heimnetzwerk beeinträchtigen? In diesem Fall treten einige schwerwiegende Sicherheitsprobleme auf.

Lohnt sich das überhaupt? Er ist weitaus schlimmer als das, was er getan hat, und ich habe Angst vor Vergeltungsmaßnahmen.

Sichern Sie Ihre Website.
Sichern Sie wichtige Daten in Ihrem Heimnetzwerk.

Wenn Sie dies gut machen, können Sie sich auch dann noch erholen, wenn Diebstahl möglich ist (eine Kopie vertraulicher Informationen kann gestohlen werden).

Ich denke, OP ist besorgt, dass der Angreifer versuchen wird, sein Heimnetzwerk aus Rache zu zerstören, nicht seine Hosting-Firma.
Ihre Antwort vermittelt den Eindruck, dass Sie sagen, dass die «deaktivierten Protokolle» abgerufen werden können, was falsch ist.
OP kann die Protokolle abrufen, die möglicherweise Informationen enthalten, bevor sie deaktiviert wurden.
trognanders
2018-03-06 11:52:15 UTC
view on stackexchange narkive permalink

Holen Sie sich einfach ein Image des Webserver-Laufwerks. Das Mounten auf einer neuen virtuellen Maschine ist unwahrscheinlich. Der Code vom bereitgestellten Laufwerk sollte nicht ausgeführt werden. Sie können die Daten nach Belieben einsehen.

Es ist mit Sicherheit nicht sicher, eine Verbindung zu einem gefährdeten Computer mit einem RAS-Protokoll herzustellen. Während Server ständig verfügbar sind, um kompromittiert zu werden, kann Client-Software, die eine Verbindung zu einem schädlichen Server herstellt, ausgenutzt werden (falls ein Exploit vorhanden ist).

Der Versuch, Ihren Webinhalt aus dem Inhalt auf dem bereitgestellten Laufwerk wiederherzustellen, ist wahrscheinlich fehlerhaft empfohlen. Änderungen an Codedateien können sehr versteckt und schwer zu finden sein. Mit PHP können sie problemlos eine Hintertür zu Ihrem nächsten VPS-Computer bereitstellen ...

Inhalte in der SQL-Datenbank können so geändert werden, dass sie Code enthalten, mit dem Besucher Ihrer Website angegriffen werden können.

Wenn Sie möchten Ihre Site wirklich härten WordPress loswerden. Mit statischen Site-Generatoren (Gatsby, Jekyll usw.) werden wunderbare Dinge getan.

Vielen Dank.Installiert das Image zur späteren Analyse auf der VM.Können Sie auf Ihrem Remotedesktop Vorsicht walten lassen?Mein Plan ist es, den von BH bereitgestellten Root-Pass abzurufen und dann mit WHM fortzufahren (oder ist das ein separates Passwort?), Um Backups abzurufen und Kopien seiner Datenbank zu speichern.Ich werde Ihren WordPress-Vorschlag unter hohem Rat nehmen.Haben Sie oder jemand eine Empfehlung der besten Generatoren (ich weiß, Sie haben 2 gegeben), die auf einer gehosteten oder selbst gehosteten Site verwendet werden können?Selbsthosting scheint ein anderes Biest zu sein, wodurch mein Netzwerk weiter gefährdet ist ...
@PrestonBennett Mein Verständnis von WHM ist, dass es nichts tut, wenn Sie den ausgenutzten Computer nicht starten (und ihn mit dem Internet verbinden, nicht weniger).Das ist eine schlechte Idee, tu es nicht.Virtuelle Maschinen verwenden Disk-Image-Dateien, die konzeptionell einer physischen Festplatte entsprechen.Holen Sie sich dieses Disk-Image und greifen Sie _offline_ darauf zu, ohne jemals Dateien auszuführen oder das darin enthaltene Betriebssystem zu booten.
@PrestonBennett Auch hier ist der Wert Ihrer wiederhergestellten Sicherungen sehr verdächtig. Sie sollten wahrscheinlich versuchen, Sicherungen zu verwenden, die während des ausgenutzten Zeitraums nicht auf der Festplatte der virtuellen Maschine gespeichert waren.Die Protokolle von Bluehost könnten Ihnen dabei helfen, Hinweise auf den Täter zu finden ... aber das VM-Image enthält nichts, was Ihnen sehr helfen könnte.Bewahren Sie das Disk-Image unverändert auf. Dies kann später nachgewiesen werden, wenn Sie jemanden zur Untersuchung überreden.
@PrestonBennett Bist du es nicht leid, dass du gerade selbst gehostet wirst?Statische Site-Generatoren erstellen einfaches HTML, das Sie buchstäblich überall hosten können.Amazon S3 wäre wahrscheinlich meine Wahl.Hosten Sie statische HTML-Dateien NICHT selbst ... es ist alles Risiko, keine Belohnung.Gatsby wäre wahrscheinlich meine Wahl für ein neues Projekt.
@BaileyS Es gibt auch [Netlify] (https://www.netlify.com/), das eine fantastische kostenlose Stufe hat.(keine Zugehörigkeit, nur ein glücklicher Benutzer)
@JF ist nicht Netlify ist ein cooles Produkt / eine coole Dienstleistung ... aber es wird ein wenig teuer, wenn Sie tatsächlich etwas brauchen, für das sie Geld verlangen.
@Bailey S Bitte erläutern Sie die Vorteile von say S3 gegenüber WordPress.Löst das meine Hände für sicherheitsrelevanten Support?Ich frage bc, ich habe monatelang Müll von BH bekommen.Wäre es ein anderes lebensfähiges Unternehmen, wäre dies zu Beginn der Sicherheitsverletzung behoben worden.
@PrestonBennett Haben Sie sich die statischen Site-Generatoren angesehen?Können Sie Ihre Ziele mit einem erreichen?Wenn Sie Ressourcen im IAAS-Stil (VPS, EC2 usw.) zum Hosten von WordPress verwenden, sind Sie für praktisch alles verantwortlich.Das Web-Kontrollfeld und die Kundendienstlinie lassen es sicher und einfach erscheinen, aber beide Gefühle sind falsch.Amazon S3 kann (unter anderem) statische Dateien über HTTP öffentlich hosten, z. B. solche, die von Ihrem statischen Site-Generator generiert wurden.Dies ist eher ein Dienst im PAAS-Stil, bei dem Amazon von der CIA / AAA des Dienstes verantwortlich ist.Sie sind ziemlich gut darin.
@BaileyS Sehr geschätzt.Wird weiter untersuchen.
Wayne Werner
2018-03-06 10:02:20 UTC
view on stackexchange narkive permalink

Wie einige Informationen hier anspielten - Wenn Sie diese gefährdeten Anmeldeinformationen überall verwendet haben, müssen Sie Ihre Kennwörter ändern. Verwenden Sie vorzugsweise ein gutes Tool wie Keepass oder Lastpass, mit dem Sie eine beliebige Anzahl sicherer, generierter, zufälliger Kennwörter schützen können, und Sie müssen sich nur an die eine Hauptpassphrase erinnern.

keepass wurde in meinem Heimsystem ausgenutzt, bevor ich wusste, dass es kompromittiert wurde.Danke für die Vorschläge.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...