Site desfigurado, o que posso fazer?

O site da minha empresa foi desfigurado, desde que eu tenha o log de acesso bruto apache, há algo que eu possa fazer para analisar quando e o que deu errado?

Quero dizer, o que procurar entre todas essas milhares e milhares de linhas de log?

Obrigado pela ajuda

DaisetsuA resposta está nas linhas corretas.
Porém, você pode conseguir fazer algumas análises sem contratar uma exportação em tempo integral também.
Estou adicionando alguns links para artigos curtos que fornecerão a essência do que pode ser feito.

1. Perguntas sobre entrevistas de segurança na Web em WebAppSec
2. Usando os logs do servidor da web para encontrar servidores comprometidos na DigitalOffencive
3. O que fazer após uma desfiguração do site ?

^{Sugestão: Mover esta pergunta para ServerFault pode obter respostas mais direcionadas sobre o que pode ser feito.}

Quando um sistema é comprometido / desfigurado, você nunca tem certeza se tudo foi limpo e o IMHO é a melhor solução sempre para reinstalá-lo, mas você precisa fazer algumas análises forenses para entender o que aconteceu e impedir que isso aconteça novamente.

Aqui está uma lista de coisas importantes para verificar:

• dê uma olhada em todos os arquivos de log que puder, especialmente o servidor da web e os do sistema. Nos arquivos de log do servidor da web, verifique as postagens
• execute verificadores rootkit. Eles não são infalíveis, mas podem levá-lo na direção certa. chkrootkit e especialmente rkhunter são as ferramentas para o trabalho
• execute o nmap de fora do servidor e verifique se há algo escutando em qualquer porta que não deva ser
• se você tiver um aplicativo de tendências do rrdtool (como Cacti, Munin ou Ganglia), consulte os gráficos e procure um possível período de tempo para o ataque.
• verifique a versão do seu servidor da web e veja se há problemas de segurança conhecidos sobre ele.

Além disso, mantenha sempre isso em mente:

• desligar os serviços que você não precisa
• testar backups regularmente
• siga o princípio de menos privilégios
• atualize seus serviços, principalmente em relação às atualizações de segurança
• não use credenciais padrão

Espero que isto ajude.

Sim, isso é conhecido como Network Forensics. Essencialmente, ele está analisando os logs da rede e do servidor para encontrar a origem do ataque e o que foi comprometido. Para fazer isso, embora você geralmente precise de um especialista forense, e mesmo quando descobrir o que aconteceu, o pior que você pode fazer é processar o agressor ou acusá-lo por um ato criminoso. Uma desfiguração na Web realmente não é vista como um crime enorme, ou seja, a menos que haja dinheiro perdido pela empresa como resultado do ataque. Se for sério, você deve entrar em contato com a autoridade apropriada e eles ajudarão na coleta de evidências. Aqui está uma lista de quem entrar em contato por crimes cibernéticos. http://www.justice.gov/criminal/cybercrime/reporting.htm Além disso, isso não conta como aconselhamento jurídico.