他们入侵了我的 VPS 并更改了 root 密码。幸运的是,我的提供商已经为我重置了它,现在我又可以控制了。
现在我想确保他们没有安装任何我不知道的东西或服务(例如,利用它进行一些非法下载/上传等)。
是否有任何工具或做法可以确保我的服务器干净?我想避免从头开始重新安装它。
不,它真的不像重新安装那么简单。
无论如何都要花一些时间来弄清楚入口点是什么,但这个安装现在是危险的垃圾。您必须考虑以下可能性:
被盗数据:他们现在是否有可用服务(例如 webapps)的密码?您可能需要重置大量密码,并且(重要的是)如果您持有他们的个人数据和/或登录凭据,请通知他们。
访问文件:重新安装和复制文件是不够的。您需要确保您的文件就是您的文件。一种非常常见的黑客攻击是将代码注入网络文件(为黑客做广告并感染僵尸网络的访问者)。您根本无法信任来自服务器的数据。这就是为什么我们使用不让生产服务器写入的版本控制,不是吗?
还发生了什么?添加了用户、更改了组、添加了服务、受污染的服务(例如“Operation Windigo”使用的)……您只是不知道这台服务器发生了什么。您可以通过法医将其拆开,但这可能会使其受到进一步攻击,并且需要数周时间。
简而言之,您需要构建一个新服务器,您需要恢复文件的安全副本,并且需要检查和检查任何数据库数据,以确保它们没有掉入额外的访问路径中。哦,你需要通知用户和你持有数据的人。
阅读了您对这个问题的评论和您迄今为止的经验后,聘请有经验的人来设置和管理服务器的下一次发展可能是值得的。这是你可以学习的所有东西,但它也是你需要维护的东西。
服务器的“即发即弃”方法是极其危险的。