可能重复:
我的服务器被黑了 紧急情况
上周末我公司的网站被黑了。
他们在周五晚上做了最好的事情,所以我们只在周一早上才注意到攻击。有趣的是,我们最近从 Windows 切换到 Linux,因为它应该更稳定和安全。去搞清楚。是的,我们在 Firefox 和 Chrome 上将我们列入黑名单。
由于我不是 Linux 专家,因此我正在寻求有关如何避免将来出现此类问题的建议。您采取了哪些措施来保护您的系统?看起来我们的密码很弱,但是在几次登录失败后,Linux 不应该阻止该帐户吗?他们尝试了 20 多种组合......
除此之外,我正在寻找一种类似于 pingdom 但适用于安全性的工具(或服务)。如果我的网站遭到黑客入侵,请提醒我。有这种事吗?黑客监视器?:)
另一件事,您如何将此类问题通知您的客户?你只是无视并希望没有人注意到吗?电子邮件解释发生了什么?
*以匿名身份发布以避免对我的公司造成更多不良影响,这已经很糟糕了...
Eva*_*son 23
操作系统不是“稳定和安全的”。正确配置和管理良好的基础设施可以比不安全的基础设施更安全,但安全性不是布尔值。您不能通过使用特定产品/技术来“购买安全性”或“安装安全性”。
您不是“Linux 专家”,因此从安全角度来看,您需要雇用/与可以很好地配置您的服务器的人签订合同是有道理的。这不是你可以做一个就“完成”的事情。补丁被释放所有的时间对新发现的漏洞和错误。如果您没有负责跟上工作的员工,您真的需要考虑订阅某种类型的“托管”服务来维护您的服务器计算机。这是一个持续存在的问题,需要考虑到整个系统的预算/TCO 中。
在某种程度上,存在“黑客监视器”。入侵检测系统 (IDS)、入侵防御系统 (IPS) 等填补了这一空白。不过,这是一场军备竞赛。您不能只是购买现成的 IDS/IPS 产品,花钱请人安装,然后坐视不理,自鸣得意。就像保持操作系统软件和应用软件打补丁一样,“黑客监控”基础设施也必须保持最新。
你需要和律师谈谈。您的客户可能位于法律规定您必须披露此类事件的地方。即使你不是,在我看来,不让你的客户知道他们的数据是否处于危险之中,这确实是一件很棘手的事情。现在披露黑客行为会对“你的好名声”造成损害,但是如果后来你试图掩盖它,那么这种损害是多种多样的——尤其是如果你这样做是违法的。
实用的东西:
你被黑的机器是垃圾。它们需要从已知良好的备份中重新加载,或者更好的是,从干净的操作系统二进制文件中重新加载并重新填充数据。这就像“恶意软件清理”,但更糟糕的是,因为你的对手更有可能是一个有思想的人,而不是一个愚蠢的软件(尽管你可能已经被一个“机器人”黑了)。您的服务器中存在“后门”的可能性是真实存在的。
服务器计算机上的数据应视为已向公众披露。即使不是现在,也可能是。
存储在被黑计算机上的其他计算机的任何凭据都是公开的。开始得到那些密码改为其他计算机NOW并确保其他计算机都完好无损。(现在还有人使用 Tripwire 吗?在这种情况下肯定会很好......)
你搞砸了。处理好它,你会变得更好。处理不好,下一次,你可能没有公司。
将来,您应该使用强身份验证和加密管理协议(SSH、基于公钥的身份验证)。我已经建议你找一个“Linux 专家”,即使它只是签订合同,让你开始走上正轨。我不能鼓励足够的。你会看到,通过这次违规,这将如何“收回成本”。
所有常见的东西都适用:
MDM*_*rra 19
看来我们的密码很弱...
...我们最近从 Windows 切换到 Linux,因为它应该更稳定和安全。去搞清楚。
弱密码与平台无关。
Linux 在许多情况下比 Windows 更灵活,因此在出现这些特定情况时可以变得更加安全。无缘无故地从 Windows 切换到 Linux,尤其是当您不熟悉环境时,这是一个糟糕的决定。如果您运行面向 Internet 的服务器并且不了解该服务器上的服务如何工作,无论是 Windows、Solaris、RHEL 还是 BSD,您都是在自找麻烦。
至于如何告诉您的客户,如果他们的任何数据被暴露或什至可能被暴露,请尽快给他们打电话。没有电子邮件,不希望它消失。使用放在办公桌上的电话。
除了法律影响之外,您还为他们提供了一项服务,而他们无疑会以某种方式使用这种服务为他人提供服务。您应该向他们披露任何潜在的数据泄露,以便他们可以相应地调整他们的工作流程,并通知他们下游的任何其他人它可能会受到影响。
mrd*_*nny 14
与任何平台一样,Linux 的安全性取决于管理系统的人员。如果您对 Windows 更有经验,那么迁移到 Linux 可能不是最好的主意。您可以将 Windows 设置为与 Linux 一样安全,前提是您采取正确的步骤来保护环境,其中包括公共互联网和内部网络之间的防火墙,以及用于从家中连接到内部网络的安全 VPN。
根据违规程度将决定您告诉客户的内容。如果没有获取客户数据,那么您可以仅向客户提供有关所发生情况的一些基本信息。但是,如果访问了客户数据,您现在需要处理一些州通知法律,具体取决于您公司所在的州以及您的客户所在的州。
cee*_*yoz 11
有趣的是,我们最近从 Windows 切换到 Linux,因为它应该更稳定和安全。去搞清楚。
去图,确实。你切换到一个你几乎没有经验的系统,你被咬到了屁股。如果你在骑了一辈子自行车之后买了一辆大马力的跑车,同样的事情也会发生——它可能更强大,但在坏人手中也很危险。
看起来我们的密码很弱,但是在几次登录失败后,Linux 不应该阻止该帐户吗?他们尝试了 20 多种组合......
它可以通过诸如denyhosts 之类的附加组件轻松配置为这样做。知道如何安装这些东西是您所使用的系统的专家很有用的地方之一。
除此之外,我正在寻找一种类似于 pingdom 但适用于安全性的工具(或服务)。如果我的网站遭到黑客入侵,请提醒我。有这种事吗?黑客监视器?:)
有一些入侵检测应用程序,但破解服务器的新方法一直出现。在检测成功的入侵方面,没有什么是 100% 可靠的。
另一件事,您如何将此类问题通知您的客户?你只是无视并希望没有人注意到吗?电子邮件解释发生了什么?
从长远来看,诚实将为您提供更好的服务。与对客户隐瞒事情的公司相比,诚实、主动和善于沟通的公司能经受住更恶劣的风暴。停电可以幸免于难,但如果付钱给您的人感觉被骗了,就不能幸免。
对您网站的黑客攻击可能与底层操作系统几乎没有关系,而更多地与您网站上运行的代码有关。所需要的只是一次 SQL 注入,而您就是历史。
由于您被 Google 列入黑名单,我假设有人设法在您的服务器上设置了恶意脚本,在这种情况下,您可以尝试使用mod_security之类的东西,配置起来不是小菜一碟,但值得一试。但是,确保您的代码没有此类漏洞至关重要。
另一方面,如果它是您操作系统中的一个漏洞,您可能想尝试将发行版切换到用于 Web 服务的发行版,例如 FreeBSD、CentOS 或 RHEL,假设您还没有使用它们。您可能需要考虑加强 SELinux,或添加某种入侵检测/预防系统。
在许多地方,如果个人信息可能受到损害,将安全漏洞通知您的客户是一项法律要求,您可能需要对此进行调查。
更多细节将有助于根据您的具体情况回答您的问题。
埃蒂亚尔。
其他人已经涵盖了大部分要点。但更重要的是,他们所说的安全性取决于链条中最薄弱的环节。这几乎总是涉及人为因素。
假设这是一次暴力 ssh 攻击,如果他们只尝试了 20 次,那么您的密码几乎不存在。这些攻击几乎总是自动攻击,使用以下 iptable 规则很容易阻止。
sudo iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH
sudo iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 --rttl --name SSH -j DROP
这些规则将在 60 秒内允许来自 eth0 上的 ip 地址的 3 个 ssh 连接,然后阻止该 ip 地址 60 秒。这通常足以导致自动攻击转移到另一台主机。
您需要确保在重新启动时恢复这些 iptable 规则。不同的发行版有不同的方法,所以谷歌或者让我们知道你正在运行什么发行版,有人可以为你提供这些信息。
作为在某些工作中使用 Linux 的 Windows 管理员,我只想补充一点,您犯了一个非常根本的错误。您更换操作系统是因为 Linux 在稳定性和可靠性方面的声誉,并希望它接管您的责任。在我的测试机器上,破解我当前的 Windows 密码需要将近 12 个小时。我还没有测试过我的 Linux 密码,但它同样复杂(但不一样)。关键是我不会仅仅因为操作系统更安全而采取较小的措施。如果有的话,我对 Linux 更加小心,因为我对它的经验较少,因此更有可能忽略某些东西。
至于类似于 pingdom 但应用于安全的服务,我会建议 Sucuri 的免费网络完整性监视器。
它能做什么?它实时监控您的网站(和域),并在它们被污损、列入黑名单、黑客攻击等情况时向您发出警报。链接: http: //sucuri.net
顾名思义,它监视您“互联网”存在的完整性。
*免责声明:我开发了它。
| 归档时间: |
|
| 查看次数: |
1628 次 |
| 最近记录: |