kar*_*met 3 debian hacking apache-2.2
我继承了一个被入侵的网络服务器。试图找出 apache 挂起的原因以及服务器负载高的原因,我在 /tmp 中找到了 perlbot 4.5 的几个副本。我现在想弄清楚它们是如何进入机器的,以便我可以关闭孔。我一直在查看各种扫描仪,nessus 看起来不错,我在机器和托管的网站之一上进行了扫描。但是有几百个站点,太多了,任何人都无法了解所有这些站点的来龙去脉,而且我是新来的,所以我真的不知道他们可能在做什么。扫描每个站点是最好的选择吗?
您如何在同一台机器上检查这么多站点的问题?
编辑添加:我们正在擦除所有内容并从备份中恢复。这很好,但仍然让我们对原始漏洞持开放态度。使用 Nessus 或 Metasploit 一次扫描一个站点以试图找出该漏洞是什么?
编辑 2:它是 phpmyadmin。尽管这本来是我一注意到我们正在运行它就会升级的东西,但我通过倾倒 apache 日志专门发现了这个问题。nessus 和 metaspolit 很整洁但没有帮助。(我可能不明白如何充分利用它们,我只是运行了基本的自动扫描)。
备份站点,重建服务器,然后只添加您知道需要的文件,这完全符合您的期望。
它实际上比尝试清理受感染的系统要少。
如果您对查找漏洞感到死心,请修补服务器,然后针对它运行 metasploit。我还会观看 netstat 以查看正在建立的连接。我还会禁用任何不属于那里的帐户。检查启动时启动的内容是否有异常。名单还在继续……
http://sectools.org/列出了他们排名前 125 的安全工具,您可以对其进行一些过滤。这可能会为您选择工具提供一些帮助,但为此您将不得不进行自己的研究。
我上一次需要使用 metasploit 或 nessus 是在几年前,所以我已经不记得使用它们的具体细节了。
| 归档时间: |
|
| 查看次数: |
747 次 |
| 最近记录: |