这是关于服务器安全的规范问题- 响应违规事件(黑客攻击)
另请参见:
规范版本
我怀疑我的一台或多台服务器受到了黑客、病毒或其他机制的危害:
原版
2011.01.02 - 我在周日晚上 9.30 上班的路上,因为我们的服务器不知何故遭到入侵,导致对我们的供应商的 DOS攻击。访问 Internet 的服务器已关闭,这意味着我们的 5-600 多个客户站点现已关闭。现在这可能是 FTP 黑客攻击,或者某处代码中的一些弱点。我不确定,直到我到达那里。
我怎样才能快速追踪到这个?如果我不尽快备份服务器,我们将面临大量诉讼。任何帮助表示赞赏。我们正在运行 Open SUSE 11.0。
2011.01.03 - 感谢大家的帮助。幸运的是,我不是唯一负责这个服务器的人,只是最近的人。我们设法解决了这个问题,尽管它可能不适用于不同情况下的许多其他问题。我会详细说明我们做了什么。
我们从网络上拔掉了服务器。它正在印度尼西亚的另一台服务器上执行(试图执行)拒绝服务攻击,而犯罪方也在那里。
我们首先试图确定这是来自服务器上的哪个位置,考虑到我们服务器上有 500 多个站点,我们预计会在一段时间内兼职。然而,在 SSH 访问仍然存在的情况下,我们运行了一个命令来查找在攻击开始时编辑或创建的所有文件。幸运的是,有问题的文件是在寒假期间创建的,这意味着当时在服务器上创建的其他文件并不多。
然后,我们能够识别ZenCart网站内上传的图像文件夹内的违规文件。
在短暂的休息之后,我们得出结论,由于文件位置的原因,它一定是通过文件上传工具上传的,但该工具没有得到足够的保护。经过一番谷歌搜索,我们发现 ZenCart 管理面板中存在一个安全漏洞,允许上传文件以获取唱片公司的图片。(它从未真正使用过的部分),发布此表单只是上传了任何文件,它没有检查文件的扩展名,甚至没有检查用户是否已登录。
这意味着可以上传任何文件,包括用于攻击的 PHP 文件。我们在受感染站点上使用 ZenCart 保护漏洞,并删除了有问题的文件。
工作完成了,我在凌晨 2 点回家
道德 - 始终为 ZenCart 或任何其他 CMS 系统应用安全补丁。当安全更新发布时,全世界都意识到了这个漏洞。- 总是做备份,备份你的备份。- 雇用或安排在这种时候会在那里的人。防止任何人依赖服务器故障上的恐慌帖子。
我的服务器正在发送垃圾邮件,但我无法找出发送它们的脚本。
电子邮件全部来自nobody@myhostcpanel,nobody因此不应被允许发送电子邮件
现在至少他们没有出去,我一直在接待他们。这是我收到的邮件:
A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:
eckert@clearfieldjeffersonredcross.org
Mail sent by user nobody being discarded due to sender restrictions in WHM->Tweak Settings
------ This is a copy of the message, including all the headers. ------
Return-path: <nobody@cpanel.myserver.com>
Received: from nobody by cpanel.myserver.com with local (Exim 4.80)
(envelope-from <nobody@cpanel.myserver.com>)
id 1UBBap-0007EM-9r
for eckert@clearfieldjeffersonredcross.org; Fri, 01 Mar …我试图找出在我的服务器上发送电子邮件的电子邮件程序(如果有)。我的雇主有几台服务器,其中大部分使用sendmail,但在我们的两台服务器上,我没有找到电子邮件程序,但不知何故电子邮件已发送?我不希望只安装sendmail如果事情是已经建立,我只是不确定如何找出什么是安装程序。服务器是Ubuntu Server 12.04 LTS,我使用的是PHPmail()命令。
我能找到的唯一信息来尝试回答我的问题是思南的问题:如何找出正在发送电子邮件的程序。我在那里尝试了两个答案,但一无所获。
which mail什么都不做,/var/log/mail.log完全是空的。
我尝试使用strace ./mail-testing-strace.php查看执行此文件时发生的情况,但我一直收到“权限被拒绝”,如下所示:
execve("./mail-testing-strace.php", ["./mail-testing-strace.php"], [/* 19 vars */]) = -1 EACCES (Permission denied)
dup(2) = 3
fcntl64(3, F_GETFL) = 0x8002 (flags O_RDWR|O_LARGEFILE)
fstat64(3, {st_mode=S_IFCHR|0620, st_rdev=makedev(136, 0), ...}) = 0
mmap2(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0xb77ca000
_llseek(3, 0, 0xbfa1ae34, SEEK_CUR) = -1 ESPIPE (Illegal seek)
write(3, "strace: exec: Permission denied\n", 32strace: exec: Permission denied
) = …