0xS*_*dog 24
要确定安装了哪些软件,您可以查看/var/log/dpkg.log 但是,这可能不是完整的记录。可能有手动编译的二进制文件和代码或直接复制到预编译的系统中。您可以将相同 Ubuntu 版本和类型的默认安装与服务器进行比较,并查找哪些文件不同,但这可能会很乏味。文件监视器解决方案将是理想的(tripewire、inotifywatch 等) http://linuxcommando.blogspot.com/2008/08/how-to-show-apt-log-history.html
你需要检查一切在服务器上。在每个用户帐户/ etc / passwd文件,每个应用程序的用户帐户(如Apache中/ PHP用户,数据库帐户等)应占,你应该改变所有的密码。您应该检查启动时启动了哪些服务、默认运行级别是什么以及以它和其他运行级别开头的内容。我会使用漏洞扫描器和基线配置工具来审计当前状态。互联网安全中心提供了一个免费的配置评估工具,但它可能是有限的。他们为成员组织提供更高级的工具 ($)。 http://benchmarks.cisecurity.org/ OpenVAS 是一个 FOSS 扫描器,与 Nessus 不同,它可能具有类似的功能。还有很多很多东西要检查,但是这个答案已经有点长了......(webapps 和 web 页面的代码审查就是一个很好的例子。)
您可以使用netstat的各种标志查看可用于连接到服务器的端口状态。 http://www.thegeekstuff.com/2010/03/netstat-command-examples/ 要确定谁连接到服务器,您将不得不求助于最性感的 Internet Security 活动,查看系统日志。该信息可以位于多个日志中的任何一个中,具体取决于系统上的应用程序和服务器。如果存在外部网络日志,您可能也有一些运气。
你有很多后续工作要做。您表示之前的管理员已被解雇;如果您怀疑该人有恶意(即他们可能留下了后门、布比陷阱、逻辑炸弹等),您几乎肯定最好从干净的媒体重建服务器并在其上重新实现 web 应用程序。如果这位以前的管理员拥有对这些系统的完全访问和控制权,并且没有受到严格的审计和监视,您可能应该假设存在后门。
这是基于对前任管理员的悲观假设。不幸的是,这就是 cookie 因操作网络安全而崩溃的方式。正如我所说,还有很多需要考虑的事情……远远超出了这里所能涵盖的范围。这些要点应该让你开始做一些事情,这样你就可以向管理层报告你正在取得一些进展;但老实说,如果您不是安全专业人士,并且有理由怀疑此人确实有恶意,那么您可能会不知所措。
这是管理层不受欢迎的答案,因为它需要付出很多努力(这意味着更多的美元),但一般的安全意识的答案是在有疑问时,从干净的来源擦除和重建。这就是最重要的政府系统如何处理恶意软件;如果来自 AV 的警报出现,系统将被隔离、擦除和重建。希望你做了备份,因为数据已经消失了。
祝你好运,我希望这会有所帮助,而不仅仅是令人沮丧。
| 归档时间: |
|
| 查看次数: |
607 次 |
| 最近记录: |