帶有 Plesk 的 Ubuntu 8.04 LTS 上的網站感染了病毒
我在 Ubuntu 8.04 LTS 上執行 Plesk 9.5,並且有大約 15 個網站感染了一些附加到 java 文件末尾的惡意程式碼。我已經安裝了 Clamav,它已經成功地提取了受感染的文件,這些文件的模式以 or 開頭並以
/*km0ae9gr6m*/
or/*gootkitstart*/
結尾/*qhk6sa6g1c*/``/*gootkitend*/
我的 Plesk 面板是最新的,並且安裝了安全更新檔。如何隔離伺服器上的安全漏洞?
首先,如果有一個rootkit,你可能正在打一場永無休止的戰鬥。使伺服器離線並重新安裝和恢復感染前的備份。這是修復的“最佳”方法。
其次,您在感染之前是否更新了更新檔等,還是在感染之後進行了更新檔?
第三,什麼自定義程式碼在 Plesk 之外的伺服器上執行?你怎麼知道那甚至是感染媒介?
如果沒有審計和沙盒,您將很難說出發生了什麼。如果它上面執行著一個數據庫,那麼系統上可能有人有錯誤的程式碼。如果其他人可以訪問伺服器,則可能是他們做了一些事情來感染它。網站是否以不同的文件權限執行以防止可能的損壞?還是這些網站幾乎共享所有資源?是否有其他使用者參與並能夠執行腳本?他們是否安裝了不同的小元件和諸如此類的東西?文件是否帶有時間戳,因此您可以返回日誌以嘗試收集發生了什麼?
如果日誌位於被入侵的同一台伺服器上,則日誌也可能已被更改。
最後,最好的辦法是使伺服器離線並通過從備份重新安裝來修復它。否則你不能完全相信它。如果您有任何“個人”數據(使用者密碼?),他們需要被告知他們的資訊可能已被盜。然後開始在系統上設置某種審計,並通過安全的通信通道將日誌文件發送到輔助伺服器,這樣日誌就不會被入侵者刪除。並在另一台伺服器上執行某種文件檢查實用程序(如 Stealth)來監控您的文件完整性並警告您更改。
在不知道您的伺服器還執行什麼的情況下,幾乎沒有其他人可以告訴您它是如何被入侵的。