Wie Spot Sicherheitsverletzungen auf Ihre Web-Hosted-Log-Dateien
Die große Frage ist immer um die Sicherheit. Wie können Sie vor Ort Web-hosted Sicherheitsverletzungen Ihrer Website zu halten sichern und gewährleisten, dass es nicht gehackt? Die kurze Antwort lautet: Sie können es nicht.
Alles ist hackable genug Zeit, verschlagen Gehirne gegeben und Ressourcen. Es gibt Dinge, die Sie tun können, obwohl, um sich zu schützen etwas. Aber zuerst, hier sind einige Dinge, die Sie tun können, die Quelle Ihrer Probleme aufzuspüren, wenn Sie gehackt bekomme.
Das erste, was zu tun ist, Ihren FTP-Protokolldateien zu überprüfen. In cPanel sind solche gefunden / Home / youraccount / access-logs /.
Wenn Sie wurden gehackt, dann ist es sehr wahrscheinlich, dass einige Ihrer Dateien verändert wurden. Verwenden Sie FTP auf den Datumsstempel auf Ihre Dateien zu suchen, um zu sehen, wenn die betroffenen diejenigen zuletzt geändert wurden und somit herausfinden, wann der Angriff geschah.
Dann laden Sie die Protokolle auf Ihrem Computer via FTP, wie Notepad ++, und öffnen.
Das FTP-Protokoll sollten Datenzeilen haben ein wenig wie folgt aussehen:
Fr 16. November 11.11.33 2012 0 97.182.220.213 248 /home/daytutor/public_html/.htaccess einer _ o r daytutor ftp 1 * c
Die Informationen in dieser Zeile von Daten bricht wie folgt nieder:
Fr 16. November 2012 11.11.33 offensichtlich ist das Datum und die Uhrzeit.
0 ist die Anzahl der ganzen Sekunden die Übertragung stattfand. Diese Übertragung dauerte weniger als eine Sekunde.
97.182.220.213 Adresse ist die IP-Adresse des Computers, der die Übertragung tat.
248 ist die Größe der Datei (in Byte) übertragen.
/home/daytutor/public_html/.htaccess ist die auf sie übertragen und den vollständigen Pfad-Datei.
ein ist die Art der Übertragung. Es kann entweder ein für ASCII oder b für binäre.
_ [Strich] die getroffenen Maßnahmen. Das _ bedeutet, dass keine Aktion, C bedeutet komprimiert, U bedeutet unkomprimiert, und T bedeutet Tar'ed.
Tar ursprünglich Bandarchiv gemeint und war ein System entwickelt, um Daten in einem einzigen Strom umwandelt für auf Backup-Bändern aufnehmen. Die Technologie wird auch heute noch verwendet, aber es ist vor allem verwendet, um Dateien in einer einzigen Archivdatei zu sammeln und speichern sie auf beliebigen Medien. Eine TAR-Datei hat in der Regel die Dateierweiterung .Teer und ist unkomprimiert.
Sie können zusätzliche Kompressions-Software verwenden zu komprimieren .Teer Dateien, in welchem Fall die Dateierweiterung verändert, um anzuzeigen, welche Komprimierungssoftware verwendet. Zum Beispiel kann ein .Teer Datei komprimiert, um die gzip-Programm wird die Erweiterung .tar.gz.
O ist die Richtung der Übertragung. Das O ist für abgehende, ich für eingehende ist, und d für gelöschte ist.
r repräsentiert den Typ des Benutzers. r einem realen Benutzer ist für und ein ein anonymer Benutzer gedacht ist. Hinweis: # 147-Real # 148- bedeutet nicht human- es bedeutet, dass die Anmeldung einen Benutzernamen / Passwort-Kombination verwendet.
daytutor einloggen verwendet wird, ist der Benutzername.
ftp ist der Dienst verwendet wird (dies in der Regel wird FTP).
1 ist die Authentifizierungsmethode. Das 1 ist eine gültige Authentifizierungsmethode, wie durch RFC931 definiert. EIN 0 bedeutet keine Authentifizierung verwendet wurde.
* gibt die Benutzer-ID des Benutzers, der die Übertragung vorgenommen (wenn der Benutzer in den Server zu dem Zeitpunkt angemeldet wurden). Das * bedeutet, wurde der Benutzer nicht eingeloggt.
c ist der Abschlussstatus. EIN c bedeutet, dass die Übertragung abgeschlossen war. Ein ich bedeutet, es war unvollständig.
Im Beispiel können Sie sehen, dass es eine Datei mit dem Namen ..htaccess dass wurde vom Benutzer per FTP übertragen out daytutor am 16. November 2012 um 11:11 Uhr.
Doch die große Frage ist, Wer tat die Übertragung. Alles, was Sie wissen, ist, dass die Person, die den Benutzernamen verwendet daytutor und hatte die IP-Adresse 97.182.220.213.
Das erste, was Sie tun sollten, gehen Sie zu whatsmyip, die Ihnen sagen, was Ihre IP-Adresse ist, so können Sie die beiden vergleichen. Wenn die IP-Adresse in der Datei nicht das gleiche wie Sie, kann es eine Sicherheitsverletzung signalisieren.
Wenn die IP-Adresse nicht verkaufen, hat jemand anderes FTP-Zugriff auf den Server haben? Haben Sie ein Backup-System auf einem anderen Server verwenden, die FTP verwendet, um diese zu verbinden?
Gehen Sie zu Ihrer bevorzugten Suchmaschine und geben Sie die IP-Adresse. Dies wird Ihnen eine Liste von Websites, die Ihnen die geographische Lage des Gerätes nachweisen kann, dass diese IP-Adresse verwendet. Wenn die IP-Adresse für einen Server ist, sollte es auch den Hostnamen des Servers zeigen.
Sie können auch auf eine Website gehen wie https://network-tools.com und geben Sie dort die IP-Adresse. Wenn die IP-Adresse mit einem Server verbunden ist, können Sie mehr Informationen über den Server von Netzwerk-Tools erhalten.
Weiter finden Sie auf dem Server die Firewall-Einstellungen und leugnen, dass die IP-Adresse Zugriff auf den Server. Dies wird nicht ein paar Hacker zu stoppen, weil sie einfach die IP-Adressen wechseln können, aber zumindest ist es stoppt Angriffe wieder direkt von dieser IP-Adresse kommen.