Làm thế nào để phát hiện các lỗ hổng bảo mật trên Web của bạn Các tệp nhật ký lưu trữ được lưu trữ trên máy chủ

Câu hỏi lớn là về an ninh. Làm thế nào bạn có thể phát hiện vi phạm bảo mật dựa trên web để giữ cho trang web của bạn an toàn và đảm bảo rằng nó sẽ không bị tấn công? Câu trả lời ngắn gọn là: Bạn không thể.

Mọi thứ đều bị hackable cho đủ thời gian, bộ não lệch lạc và tài nguyên. Có những điều bạn có thể làm, tuy nhiên, để tự bảo vệ mình. Nhưng trước tiên, đây là một số điều bạn có thể làm để theo dõi nguồn gốc của các vấn đề của bạn nếu bạn bị tấn công.

Điều đầu tiên cần làm là kiểm tra các file bản ghi FTP của bạn. Trong cPanel, chúng được tìm thấy trong / home / youraccount / access-logs /.

Nếu bạn bị tấn công, rất có thể một số tệp của bạn đã bị thay đổi. Sử dụng FTP để xem các con tem ngày trên các tập tin của bạn để xem khi những người bị ảnh hưởng lần cuối thay đổi và do đó phát hiện ra khi cuộc tấn công xảy ra.

Sau đó, tải các bản ghi vào máy tính của bạn thông qua FTP, như Notepad ++, và mở chúng.

Nhật ký FTP cần có các dòng dữ liệu giống như sau:

Thứ sáu, ngày 16 tháng 11 11: 11: 33 2012 0 97. 182. 220. 213 248 / home / daytutor / public_html /. htaccess a _o r daytutor ftp 1 * c

Thông tin trong dòng dữ liệu bị hỏng như sau:

• Thứ sáu, ngày 16 tháng 11 11: 11: 33 2012 là ngày và giờ, hiển nhiên.

• 0 là số giây mà việc chuyển giao diễn ra. Việc chuyển này mất ít hơn một giây.

• 97. 182. 220. 213 là địa chỉ IP của máy tính đã chuyển.

• 248 là kích thước của tệp được truyền (bằng byte).

• / home / daytutor / public_html /. htaccess là tập tin chuyển giao và đường dẫn đầy đủ đến nó.

• a là loại hình chuyển đổi. Nó có thể là một cho ASCII hoặc b cho nhị phân.

• _ [gạch dưới] thể hiện hành động được thực hiện. _ Có nghĩa là không có hành động, C có nghĩa là nén, U có nghĩa là không nén, và T có nghĩa là Tar'ed.

  Tar ban đầu có nghĩa là Tape ARchive và là một hệ thống được phát triển để chuyển đổi dữ liệu thành một luồng duy nhất để ghi lên băng sao lưu. Công nghệ vẫn được sử dụng ngày nay nhưng chủ yếu được sử dụng để thu thập các tệp tin vào một tệp lưu trữ đơn và lưu trữ chúng trên mọi phương tiện. Tập tin tar thường có đuôi tệp. tar và không nén.

  Bạn có thể sử dụng phần mềm nén bổ sung để nén. tar, trong trường hợp mở rộng tệp được thay đổi để chỉ ra phần mềm nén nào đã được sử dụng. Ví dụ, a. tar nén bằng chương trình gzip sẽ có phần mở rộng. dầu hắc ín. gz.

• o là hướng của chuyển đổi. O là cho đi, tôi là cho đến, và d là cho xóa.

• r đại diện cho kiểu người dùng. r là dành cho người dùng thực và một dành cho người dùng vô danh. Lưu ý: "Thực" không có nghĩa là con người; nó có nghĩa là đăng nhập sử dụng một sự kết hợp tên người dùng / mật khẩu.

• daytutor là tên đăng nhập được sử dụng để đăng nhập

• ftp là dịch vụ được sử dụng (thường là FTP).

• 1 là phương pháp xác thực. Phương pháp 1 là một phương pháp xác thực hợp lệ theo quy định của RFC931. A 0 có nghĩa là không xác thực đã được sử dụng.

• * chỉ ID người dùng của người dùng đã thực hiện việc chuyển giao (nếu người dùng đã đăng nhập vào máy chủ vào thời điểm đó). * Có nghĩa là người dùng không đăng nhập.

• c là trạng thái hoàn thành. A c có nghĩa là việc chuyển nhượng đã hoàn tất. An i có nghĩa là nó đã không đầy đủ.

Trong ví dụ, bạn có thể thấy nó là một tập tin được gọi là. htaccess đã được chuyển sang sử dụng FTP bởi người dùng daytutor ngày 16 tháng 11 năm 2012, lúc 11: 11.

Tuy nhiên, câu hỏi lớn là người đã chuyển. Tất cả bạn biết là người dùng tên người dùng daytutor và có địa chỉ IP 97. 182. 220. 213.

Điều đầu tiên bạn cần làm là vào whatsmyip, nó sẽ cho bạn biết địa chỉ IP của bạn là gì so sánh hai. Nếu địa chỉ IP trong tệp không giống với địa chỉ IP của bạn, nó có thể báo hiệu sự vi phạm bảo mật.

Nếu địa chỉ IP không phải của bạn, liệu có ai khác truy cập FTP vào máy chủ của bạn không? Bạn có sử dụng một hệ thống sao lưu trên một máy chủ khác sử dụng FTP để kết nối với máy chủ này?

Đi tới công cụ tìm kiếm ưa thích của bạn và nhập địa chỉ IP. Điều này sẽ cung cấp cho bạn một danh sách các trang web có thể cho bạn thấy vị trí địa lý của thiết bị sử dụng địa chỉ IP đó. Nếu địa chỉ IP dành cho máy chủ, nó cũng sẽ hiển thị tên máy chủ của máy chủ.

Bạn cũng có thể truy cập trang web như // network-tools. com và nhập địa chỉ IP vào đó. Nếu địa chỉ IP được kết nối với một máy chủ, bạn có thể lấy thêm thông tin về máy chủ từ Công cụ Mạng.

Tiếp theo, đi đến cài đặt tường lửa của máy chủ và từ chối truy cập địa chỉ IP tới máy chủ của bạn. Điều này sẽ không ngăn chặn một số hacker bởi vì họ chỉ có thể chuyển đổi địa chỉ IP, nhưng ít nhất nó dừng các cuộc tấn công trực tiếp từ địa chỉ IP đó.