ウェブサイトが改ざんされた場合、どうすればよいですか？

apacheのrawアクセスログがあれば、会社のWebサイトが改ざんされています。いつ、何が問題だったかを分析するために何かできることはありますか？

何千、何千ものログの行の中で何に注意するべきですか？

助けてくれてありがとう

Daisetsuの答えは正しい行にあります。
ただし、フルタイムのエクスポートを採用しなくても、分析を行うことができる場合があります。
何ができるかの要点を与える短い記事へのリンクをいくつか追加します。

1. WebAppSecでのWebセキュリティインタビューの質問
2. Webサーバーログを使用して、DigitalOffenciveで侵害されたWebサーバーを見つける
3. Webサイトの改ざん後に何をすべきか？

^{提案：この質問をServerFaultに移動すると、何ができるかについてより直接的な回答が得られる可能性があります。}

システムが危険にさらされたり、改ざんされたりした場合、すべてがクリーンアップされたかどうか確信が持てず、IMHOの最善の解決策は常に再インストールすることですが、何が起こったかを理解し、再発を防ぐためにフォレンジックを行う必要があります。

チェックする重要な事項のリストはここにあります：

• 可能なすべてのログファイル、特にWebサーバーとシステムのログファイルを確認してください。ウェブサーバーのログファイルで、投稿を確認します
• ルートキットチェッカーを実行します。彼らは無謀ではありませんが、正しい方向にあなたを導くことができます。chkrootkitと特にrkhunterは仕事のためのツールです
• サーバーの外部からnmapを実行し、ポートに待機すべきでないポートがあるかどうかを確認
• Rrdtoolトレンドアプリケーション（Cacti、Munin、Gangliaなど）を使用している場合は、グラフィックを見て、攻撃の可能な時間枠を検索してください。
• ウェブサーバーのバージョンを確認し、既知のセキュリティ問題がないか確認してください。

また、常にこれに注意してください。

• 不要なサービスをシャットダウンする
• 定期的にバックアップをテストする
• 最小特権の原則に従う
• 特にセキュリティ更新に関して、サービスを更新する
• デフォルトの認証情報を使用しない

お役に立てれば。

はい、これはネットワークフォレンジックとして知られています。それは本質的に攻撃の起源と何が侵害されたかを見つけるためにネットワークとサーバーのログを調べています。これを行うには、通常は法医学の専門家が必要です。何が起こったのかがわかったとしても、最悪の場合、攻撃者を訴えるか、犯罪行為で起訴することができます。Webの改ざんは実際には大規模な犯罪とは見なされていません。つまり、攻撃の結果として会社によって金銭が失われた場合を除きます。それが深刻な場合は、適切な当局に連絡する必要があり、証拠の収集に役立ちます。サイバー犯罪の問い合わせ先は次のとおりです。 http://www.justice.gov/criminal/cybercrime/reporting.htm また、これは法的助言としてはカウントされません。