Devo fornire supporto nell'indagine sull'evento (attacco hacker).
Premessa:
- non sono un sistemista (non mi intendo di log, server, ...)
- conosco wp a livello basico (ho provato un paio di volte a produrre sito web, pannello amministrazione)
Fatti:
- il portale web di un'azienda cliente è stato preso di mira da intrusione hacker
- l'azienda intende analizzare come sia stata possibile l'intrusione e dedurne la fonte
- nella root del portale il file Index.php è stato sostituito con uno che pubblicava testi a sfondo ideologico
- il file intruso è rimasto per un periodo di circa dieci giorni, poi tutto è tornato normale (sembra) per un upgrade automatico eseguito da wp
- l'azienda ha hosting presso Provider esterno (Register)
- l'azienda ha due domini primari e una decina di sottodomini; l'intrusione ha riguardato solo i due domini primari e non gli altri (il secondo dominio primario - oltre wp - è su cms joomla)
Log wp:
- l'azienda ha fornito uno stralcio di file di log, con eventi relativi al periodo in questione - poco prima, poco dopo
- la sostituzione del file è assegnata ad un IP denominato "::1"
Chiedo:
1) l'upgrade automatico di wp sovrascrive effettivamente l'Index.php?
2) il log di wp è prodotto da un plugin installato per il portale oppure è una feature propria del cms?
3) l'IP "::1" ha un qualche significato oppure è un valore dovuto ad un hiding dell'indirizzo hacker?
4) quale indagine si potrebbe condurre per poter dedurre che l'intrusione sia stata eseguita da soggetto esterno piuttosto che da personale interno all'azienda?
5) se il file fosse stato immesso da personale interno, il log avrebbe tracciato l'operazione? se la sostituzione avvenisse mediante file system, io direi che il log non traccierebbe. Sbaglio?
6) qualunque suggerimento per procedere nell'indagine sarà enormemente apprezzato.
GRAZIE.
Rispondi quotando