我如何弄清楚“Pharma Hack”黑客是如何访问我的网站的?
-1 php hacking exploit drupal-6
我的一个网站一直是“Pharma Hack”的持续目标——但它使用的是 Drupal 而不是 Wordpress 或 Joomla。它是第 6 版,但已更新到最新版本,我安装的所有模块也是如此。
我更改了密码,删除了有问题的文件,完全重新安装了该站点,但不知何故他们继续获得访问权限.. 该站点是一个非营利组织,它严重影响了我们在 Google 等上的搜索结果。
您不能相信从服务器本身获得的任何统计数据或指标。它可能有一个 rootkit(或多或少是基于 POSIX 的针对病毒的委婉说法)。如果您绝对必须分析服务器,您将需要分析流出 NIC 的流量。使用 TAP / 镜像端口并准备筛选一堆垃圾。当然,服务器可能没有rootkit。清理服务器可能是一件简单的事情。当然,您可以使用Rootkit Hunter 之类的工具来尝试纠正这种情况。
我再说一遍:您再也不能相信您在该服务器上看到的内容。你必须到外面去看看发生了什么。
你最好的选择是从轨道上核对它。
重建它。监视对文件系统的每个更改。了解绊线。Inotify 也是。
阅读此 ServerFault 线程“我的服务器已被紧急入侵。” 两次。就这些。