Я разработчик веб-сайтов в компании, которая занимается множеством конфиденциальных личных данных, включая хранение банковских реквизитов и телефонных номеров.Если я подозреваю, что наш сайт взломан и украдены данные, где я начну искать доказательства?
Клиент сообщает, что недавно они связались по телефону с кем-либо, претендующим на работу в своем банке, задав им несколько вопросов безопасности. Клиент стал подозрительным по характеру вопросов, прежде чем повесил трубку.
Я еще не смог выяснить, какие вопросы были заданы, однако клиент заявил, что номер мобильного телефона, с которым они были связаны, не был предоставлен их банку. Фактически, это был новый номер мобильного телефона, который они нам предоставили только через наш веб-сайт вместе с их банковскими реквизитами.
Это, естественно, вызывает подозрение, что наш сайт был нацелен и взломан.
Нет никаких доказательств того, что вредоносное ПО сайта или какой-либо вредоносный код отправлен в прямом эфире, но это совпадение с клиентом кажется очень целенаправленным.
мне нужно определить:
- ли какие-либо данные на самом деле украдены
- если да, то где он был украден из
- нашей базы данных?
- наши учетные записи электронной почты?
- a rogue штат сотрудников?
- учетная запись для хранения облаков?
- где-то еще полностью?
- как он был украден
- сколько было украдено
- , когда он был украден
Каковы наиболее очевидные признаки того, что может мне точку в правильном направлении? Я совершенно не знаю, с чего начать искать что-то вроде этого, так как нет ничего очевидного.
Наша архитектура:
- Debian Jessie
- Apache
- MySQL Database
- PHP веб-приложений, построенных на фреймворке CodeIgniter
- Некоторые документы хранятся в Amazon S3
Мы берем все разумные средства обеспечения безопасности y на нашем коде приложения - XSS-санитария, экранирование значений базы данных, защита CSRF и т. д. Доступ к файлам сервера осуществляется только через SSH, защищенными сильными, повернутыми паролями.
Я прежде всего веб-разработчик - мы передаем наш хостинг специализированной компании, с которой я буду консультироваться. Но любой совет, который я могу получить, чтобы помочь всем нам, будет очень оценен.
Просьба предоставить более подробную информацию о вашей архитектуре. Запуск apache? Проверяли журналы? – m02ph3u5
@ m02ph3u5 Я добавил еще некоторые детали архитектуры. Я могу сделать все возможное, чтобы дать больше специфики, но прежде всего я веб-разработчик, а не системный администратор. Ваша точка зрения о проверке журналов - это то, о чем я говорю в вопросе, - какие вещи конкретно отдали бы эту вещь? –
Это сложная проблема, с тонким доказательством, вы можете преследовать призрак. Это может привести к тому, что ваш рабочий стол данных, рабочий стол вашего клиента, который был взломан, хостинг-провайдер или ваш сайт. Как говорят другие, начните с журналов ...Вы также можете задать этот вопрос в security.stackexchange, а не здесь. – JCx