Приложение Rails эксплуатируется, как узнать, какой эксплойт?

Я получил письмо от кого-то, кто притворился, что взломал мой сервер, дав некоторую информацию о сервере и попросив меня заплатить, если я не хочу, чтобы данные публиковались в Интернете.

Все приложения на сервере — это приложения для рельсов, и некоторые из них не были обновлены из-за моей лени. Таким образом, очевидное указание на то, как чувак получил доступ к моему серверу, связано с одной из тех уязвимостей рельсов, которые были обнаружены за последние недели.

Я хотел бы знать, могу ли я точно знать, что одно из моих приложений использовалось таким образом. Я пытался найти журналы для обращений к системе, упорядочить объекты по параметрам, но пока безуспешно. Я знаю, что расплачиваюсь за свою небрежность, но я хотел бы точно найти, где был эксплойт, чтобы защитить себя от фьючерсных атак.

Большое спасибо за ваше время!


ruby-on-rails security exploit
person Seb K    schedule 16.03.2013    source источник
comment
Я не имею права давать ответ на этот вопрос, поэтому я хотел бы поделиться очень хорошим постом в блоге по этой теме. Надеюсь, это поможет вам сейчас и в будущем: kalzumeus.com/2013/01/31/   -  person Cezar    schedule 22.03.2013

Ответы (2)


arrow_upward
1
arrow_downward

Я бы обновился до последней версии Rails, чтобы устранить как можно больше уязвимостей. Разветвите свой код и сохраните копию своего старого неисправленного кода и резервную копию данных, чтобы выявить проблему, но сейчас вы хотите устранить любой вектор, который сможете.

Как только вы обновитесь, найдите время, чтобы просмотреть свои журналы и старый код, чтобы увидеть, есть ли у вас какие-либо заметные дыры в безопасности. Ограничьте доступ к данным в ваших моделях с помощью attr_accessible и attr_readonly, чтобы предотвратить массовое присвоение ключевых полей. Убедитесь, что ваши проверки в ваших моделях отклоняют данные, которые не соответствуют вашим требованиям.

person Richard Brown    schedule 16.03.2013
comment
Все они модернизированы или находятся в процессе обновления. Учитывая тип приложений, о которых я говорю, я не думаю, что дыры в безопасности могут привести к эксплойту, хотя это может привести к потере/повреждению данных, так что это будут следующие шаги. Я все еще хотел бы узнать, где он прошел, хотя - person Seb K; 17.03.2013

arrow_upward
1
arrow_downward

Свяжитесь с местным отделением ФБР и работайте в этом направлении.

С точки зрения безопасности, интегрируйте ваше развертывание с такими вещами, как брандмауэры веб-приложений (аппаратные или программные), прокси-серверы SQL (если применимо), защитите свою ОС (GRSecurity, SELinux) и протестируйте свое программное обеспечение профессионалами, если оно размещает информацию, которую вы хотите обеспокоены (или финансово важны для вас).

Кроме того, попробуйте что-то вроде Brakeman, чтобы обеспечить дополнительные гарантии безопасности вашего кода.

person Mark Stanislav    schedule 22.03.2013