天网入侵后如何发现安全漏洞?
kra*_*tan 1 security linux debian intrusion-detection debian-etch
前几天,朋友的服务器被入侵了。攻击安装了一个新的 SSH 守护进程,允许任何有效帐户进入,而无需提供有效密码。登录后,每个账号自动获得root权限,服务器打招呼如下:
该攻击还删除了显示入侵的 syslog 条目(我们通过 syslog 的日志发现了这一点)并更改了/etc/apt/sources.list.
服务器在 Debian Etch 下运行并且在攻击期间不是最新的:Apache/PHP 没有安装所有安全更新。我们认为入侵可能是由于这些缺少更新而发生的,但我们实际上并不确定。在攻击前一天,我们安装了 Wordpress 3.0.1;但我们不知道安装 Wordpress 是否是开门器。
有没有办法找出服务器上的哪个安全漏洞允许入侵?
除非您有某种远程日志记录,否则您可能不走运。
我认为最好将此归结为“经验教训”,从头开始重新安装系统(说真的,不要跳过这一步!),然后对新系统进行修补。
根据我的经验,自动更新并冒着在一个坏的自动补丁后清理的风险要好得多,而不是手动更新并冒着落后的风险而发生这种情况。在第一种情况下,在非常罕见的错误供应商/发行版补丁的情况下,您通常可以在最坏的情况下用几分钟的时间修复问题。对于系统妥协,这是一个完整的重建和大量的时间损失。
| 归档时间: |
|
| 查看次数: |
653 次 |
| 最近记录: |