参见英文答案 >
How do I deal with a compromised server?13个
更新:他们还在这里.帮我停止或陷阱!
更新:他们还在这里.帮我停止或陷阱!
嗨SF’ers,
我刚刚有人破解了我的一个客户网站.他们设法更改文件,以便网站上的结帐页面将付款信息写入文本文件.
幸运的是,或者不幸的是他们塞满了,代码中有一个拼写错误,打破了网站,所以我马上就知道了.
我对他们如何设法做到这一点有一些了解:
我的网站CMS有一个文件上传区域,您可以在其中上传要在网站中使用的图像和文件.上传仅限于2个文件夹.我在这些文件夹中发现了两个可疑文件,在检查内容时看起来这些文件允许黑客查看服务器的文件系统并上传自己的文件,修改文件甚至更改注册表项?
我删除了一些文件,并更改了密码,我正在尝试保护CMS并通过扩展限制文件上传.
你们还有什么别的建议我可以尝试找出更多有关他们如何进入的细节以及我可以采取哪些措施来防止将来发生这种情况?
如果您(客户)的网站已被盗用,那么您应首先将其脱机.您无法轻易证明黑客没有安装rootkit.您必须假设该服务上的所有数据都已泄露,并可能丢失.为了您的利益,我希望您不会将信用卡或其他支付数据存储在未加密的sql数据库中,也不会将密钥存储在同一系统的某个位置.
然后,您必须从已知良好的映像重建它,并从上次已知的良好备份还原.这是唯一可以确定的方法.从轨道上攻击它.
至于弄清楚他们如何进入你的系统,看看人们登录时的事件日志,以及可能的审计日志,可能会告诉你他们是否从上传区域执行了任何代码.这将为您提供良好的学习体验,尤其是涉及网站公共可访问区域的可执行权限,以及审核和日志记录时.
您的首要任务必须是在已知良好的服务器上重建站点,并保护原始站点更严重的站点.
您可能会发现这个“Recovering from a compromised system”是一本有趣的读物.
RobertMoir对this问题的高度评价也可能对你有所帮助.