我被要求 修复 在生产服务器上使用osCommerce构建的被黑站点。
该站点一直存在于远程主机上。没有离线的 干净 版本。让我们暂时忘记这是多么愚蠢,并处理它是什么。
它已被黑客入侵多次,另一个人通过删除Web Shell文件/上传脚本对其进行了 修复 。
它经常被黑客入侵。
我能做什么?
因为您不能信任Web主机上的任何内容(它可能已安装了rootkit),所以最安全的方法是从头开始重建新的Web服务器。在线发布 之前, 请不要忘记更新所有面向外部的软件。在严酷的防火墙中进行所有更新。
重建系统时,请务必特别注意正确的配置。如果 Web内容 由与 Web服务器的 用户ID 不同的Unix用户拥有,并且文件的权限设置为禁止写入,则Web服务器无法修改程序文件。
配置Web服务器的Unix用户帐户,以使其仅对其日志文件和数据库套接字(如果它们在文件系统中)具有写权限。被黑的Web服务器仍可以将被黑的页面提供给客户端,但是重新启动将“撤消”“实时黑名”。当然,您的数据库内容可能会发送到Yakuza或被认为您的数据应包含独角兽图片的人破坏。在最小权限原则会是一个很好的指南- ,究竟是什么,你的Web服务器 需要 访问,以完成自己的工作?只授予。
还可以考虑部署强制性访问控制系统,例如AppArmor,SELinux,TOMOYO或SMACK。这些系统中的任何一个都经过正确配置,可以控制系统被黑客入侵时可能损坏或泄漏的内容的范围。(我从事AppArmor工作已有十年,我相信大多数系统管理员可以在一两天的学习中学习如何在其系统上部署可行的安全策略。没有一种工具适用于所有情况,因此请确保阅读有关您所有选择的信息。)
第二次,请确保通过诸如puppet,chef之类的工具或至少在修订控制系统中对您的配置进行管理。
更新资料
其他一些与重新联机无关,但可能具有相同的教育意义:将硬盘驱动器从受损的系统中保存下来,以便您可以挂载它并从另一个系统中检查其内容。也许通过对泄露的数据进行取证可以学到一些东西:您可能会发现泄露发生在几个月前,并且一直在窃取密码或ssh密钥。您可能会找到rootkit或其他利用工具。您可能会发现信息,显示攻击的来源- 也许管理员 是 网站还没有意识到他们已经被黑客入侵。
ssh
__在检查被黑客入侵的数据时 请务必小心 -首先.jpg您可能无法很好地识别破解该系统的漏洞,而在“已知良好”的系统上查看该漏洞也可能会破解它。使用硬盘驱动器完成工作,然后完成格式化。(虚拟化或具有强制性的访问控制系统可能足以限制“被动”基于数据的黑客攻击,但没有什么比一次性系统更让您省心了。)
.jpg