我被要求修复在生产服务器上使用osCommerce构建的被黑网站.
该站点始终存在于远程主机上.没有脱机干净版本.让我们忘记这一刻是多么愚蠢并处理它是什么.
它被多次黑客攻击,另一个人通过删除Web shell文件/上传脚本来修复它.
它经常被黑客攻击.
我能做什么?
sar*_*old 28
因为您不能信任Web主机上的任何东西(它可能安装了rootkit),最安全的方法是从头开始重建新的Web服务器; 不要忘记在将所有面向外部的软件联机之前更新它们.在严酷的防火墙的快乐方面进行所有更新.
重建系统时,请务必特别注意正确配置.如果Web内容由与Web服务器的用户标识不同的Unix用户拥有,并且文件的权限设置为禁止写入,则Web服务器无法修改程序文件.
配置Web服务器的Unix用户帐户,使其只能访问日志文件和数据库套接字(如果它们位于文件系统中).被黑客攻击的Web服务器仍然可以向客户端提供被黑客攻击的页面,但重新启动会"撤消""实时黑客".当然,您的数据库内容可能会被发送到Yakuza,或者被认为您的数据应包含独角兽图片的人破坏.在最小权限原则会是一个很好的指南- ,究竟是什么,您的Web服务器需要,以完成其工作访问?只授予那个.
还要考虑部署强制访问控制系统,如AppArmor,SELinux,TOMOYO或SMACK.正确配置的这些系统中的任何一个都可以控制系统被黑客攻击时可能损坏或泄露的范围.(我已经在AppArmor上工作了十年,我相信大多数系统管理员可以在一两天的学习中学习如何在他们的系统上部署可行的安全策略.没有工具适用于所有情况,所以一定要确保阅读你所有的选择.)
第二次,确保通过诸如木偶,厨师等工具或至少在修订控制系统中管理您的配置.
更新
还有其他东西,与回到网上有点无关,但可能具有相同的教育性:从受感染的系统中保存硬盘,这样您就可以安装它并从另一个系统检查其内容.也许通过对受损数据进行取证可以学到一些东西:您可能会发现这些泄密事件发生在几个月之前并且一直在窃取密码或ssh密钥.您可能会找到rootkit或进一步的漏洞利用工具.您可能会发现信息,显示攻击的来源-也许管理员是网站还没有意识到他们已经被黑客入侵.
检查被黑客攻击的数据时要小心 - .jpg你不认识的可能就是破解系统的漏洞,并且在"已知良好"的系统上查看它也可能会破解它.完成后,您可以使用硬盘驱动器进行格式化工作.(虚拟化或强制访问控制系统可能足以限制"被动"基于数据的黑客攻击,但没有什么比一次性系统更安心了.)
获取该网站构建的osCommerce版本的新副本,并在新的新的osCommerce和被黑网站之间做差异.还要检查服务器上但不在osCommerce包中的文件.
通过手动比较差异,您可以跟踪黑客可能创建或修改脚本的所有可能位置.