我工作的公司在 VPS 上经营一系列电子商务商店。这是一个 WAMP 堆栈,50GB 存储空间。
我们使用一种几乎完全在客户端运行的古老电子商务软件。当订单被接受时,它会将其写入磁盘,然后我们安排一个任务,每 10 分钟下载一次订单。
前几天,我们的磁盘空间用完了,导致订单写入失败。我很快就从邮件服务器中删除了一些旧日志,并很快释放了几个 GB,但我想知道我们如何才能填满 50GB 的日志。
事实证明,我们没有。隐藏在c:\System Volume Information目录深处,我们有一堆盗版视频,这些视频似乎是在过去三周内出现的(查看时间戳)。色情、美国体育、澳大利亚烹饪节目。一个非常奇怪的集合。看起来不像个人的个人品味 - 更像是 VPS 被用作骡子。
我们有 5 次尝试,您在我们的 FTP 服务器上被阻止策略(另外,没有可以访问该目录的 FTP 帐户),并且 Windows 用户帐户最近更改了密码。主要途径是封闭的 - 日志可以验证这一点。我想我会看看它是否再次发生,是的,今天早上又出现了另一个烹饪节目。
我是我公司中唯一知道这个问题的人,并且只有两个人中的一个可以访问 VPS(另一个是我的老板,但不 - 不是他)。
那么这是怎么发生的呢?
VPS 上的某些软件是否存在漏洞?VPS 所有者是否在我们租用的空间内兜售商品?(他们能做到吗?)
我不想删除该软件,以防它被视为针对这种外部力量的敌对行动,而他们选择进行报复。
我该怎么办?我该如何解决这个问题?以前有其他人发生过这种情况吗?
如果不审核代码(您是否使用自定义商店软件?),您将无法知道是否存在正在被利用的错误(即使您没有发现任何错误,但这并不意味着它不存在)。例如,您是否使用自定义 SQL 代码?对输入进行健全性检查和清理?
我假设您的所有系统都是最新的?恶意软件检查?防病毒软件是最新的吗?
一旦有人破解了系统,他们就可以对其进行rootkit。无论您如何更改或更改密码,如果系统中的某些内容已更改为允许后门访问,您将无法阻止它。最重要的是,它可能会记录您的密码更改和击键,因此您只是向攻击者提供更多密码。
您可以进行审核以查看连接来自何处,但我怀疑这会有很大帮助。
最后,您需要考虑擦除并从头开始重新安装。这是您可以再次信任安装并知道它没有木马代码的唯一方法,因为一旦感染得到控制,它就会自我掩盖。
更可怕的是,如果您使用信用卡,这些信息可能会被盗用,您将需要为客户身份被盗用承担责任。如果您在美国,这会产生影响,您需要通知客户可能的身份盗窃。
如果这是一个处理任何涉及金钱的服务器,您可能需要考虑召集承包商来审核系统。拍摄系统图像以供取证使用,然后擦除并重新安装。你等待的时间越长,你承担的责任就越大。
要回答这是如何发生的,如果服务器是专用服务器,它可能会破解 Windows 中店面中的某些漏洞(例如 SQL 注入),而没有修补该系统的任何 Web 浏览功能?来自网站的“驱动”下载者。在其上运行不是来自系统的软件?可能是被什么东西感染了。弱密码。审核过他们吗?而且您可能不会轻易知道他们是如何做到的。我的赌注是店面软件,特别是如果它是小众的,因为开发人员很容易不清除 URL 中的输入并将其打开以进行注入攻击。或者如果它使用向外部接口开放的 PHP;你确实保持最新状态吗?你没有提到它是否使用类似 php 管理界面的东西,但马虎的 php 编码也可以添加一个简单的攻击向量。
如果你完全不知道如何应对这个问题,说真的,请聘请外部帮助。寻求帮助并不丢人,经验法则是,一旦你被黑客攻击,你就无法确定它是否已修复,如果客户数据在该系统上流动,你就会承担责任并伤害无辜的客户。另外,如果该系统没有与网络上的其他系统隔离,它可能会尝试拦截其他系统的数据。