Site Web défiguré, que puis-je faire?

Le site Web de mon entreprise a été effacé, à condition que je dispose du journal d'accès brut apache, puis-je faire quoi que ce soit pour analyser quand et qu'est-ce qui a mal tourné?

Je veux dire quoi rechercher parmi toutes ces milliers et milliers de ligne de journal?

Merci pour l'aide

DaisetsuLa réponse est sur les bonnes lignes.
Mais, vous pourrez peut-être effectuer une analyse sans engager une exportation à temps plein également.
J'ajoute quelques liens vers de courts articles qui vous donneront l'essentiel de ce qui peut être fait.

1. Questions d'entretiens chez Web Security à WebAppSec
2. Utilisation de vos journaux de serveur Web pour trouver des serveurs Web compromis sur DigitalOffencive
3. Que faire après un déplacement de site Web ?

^{Suggestion: le déplacement de cette question vers ServerFault pourrait obtenir des réponses plus ciblées sur ce qui peut être fait.}

Lorsqu'un système est compromis / dégradé, vous n'êtes jamais sûr si tout a été nettoyé et à mon humble avis, la meilleure solution est toujours de le réinstaller, mais vous devez faire quelques recherches pour comprendre ce qui s'est passé et empêcher qu'il ne se reproduise.

Voici une liste de choses importantes à vérifier:

• jetez un oeil à tous les fichiers journaux que vous pouvez, en particulier le serveur Web et ceux du système. Dans les fichiers journaux du serveur Web, recherchez les publications
• exécutez les vérificateurs de rootkit. Ils ne sont pas infaillibles mais peuvent vous conduire dans la bonne direction. chkrootkit et surtout rkhunter sont les outils pour le travail
• exécutez nmap depuis l'extérieur de votre serveur et vérifiez s'il y a quelque chose à écouter sur un port qui ne devrait pas être
• si vous avez une application de tendances rrdtool (comme Cacti, Munin ou Ganglia), jetez un œil aux graphiques et recherchez un intervalle de temps possible pour l'atack.
• vérifiez la version de votre serveur Web et voyez s'il existe des problèmes de sécurité connus.

Aussi, gardez toujours cela à l'esprit:

• fermez les services dont vous n'avez pas besoin
• tester régulièrement les sauvegardes
• suivre le principe du moindre privilège
• faire mettre à jour vos services, notamment en ce qui concerne les mises à jour de sécurité
• n'utilisez pas les informations d'identification par défaut

J'espère que cela t'aides.

Oui, ceci est connu sous le nom de Network Forensics. Il examine essentiellement les journaux du réseau et du serveur afin de trouver l'origine de l'attaque et ce qui a été comprimé. Pour ce faire, bien que vous ayez généralement besoin d'un médecin légiste, et même lorsque vous découvrez ce qui s'est passé, le pire que vous puissiez faire est de poursuivre l'agresseur ou de le faire accuser d'un acte criminel. Un effacement de sites Web n'est vraiment pas considéré comme un énorme crime, à moins que l'entreprise n'ait perdu de l'argent à la suite de l'attaque. Si c'est grave, vous devez contacter l'autorité appropriée et elle vous aidera à collecter les preuves. Voici une liste de personnes à contacter pour la cybercriminalité. http://www.justice.gov/criminal/cybercrime/reporting.htm De plus, cela ne compte pas comme conseil juridique.