Security

找到惡意軟體的來源?

  • April 19, 2011

我有一台執行舊版本 lighttpd 的伺服器(在 freebsd 6.2-RELEASE(是的,舊)機器上執行 1.4.19),Google提醒我它發現我的伺服器頁面上嵌入了惡意軟體。它恰好是我們的索引頁面。我立即刪除了惡意軟體並開始查看伺服器日誌以了解它是如何到達那裡的。正在編輯的文件的任何日誌中都沒有任何痕跡,我注意到索引頁的所有者已更改為 www,即 lighttpd 使用者。然後我得出結論,該軟體版本一定存在某種 veunerability,並迅速升級到 1.4.26。

現在惡意軟體又回來了。我已經使用 ftp、lighttpd 和所有登錄嘗試開始了一些非常詳細的伺服器日誌記錄,以嘗試查看這個腳本是如何進入的。他們對其他方法有什麼建議嗎?

您的網站遭到入侵/破壞,發生這種情況時,通常很難重新創建所有攻擊者步驟,最好的解決方案是重新安裝被入侵的伺服器。另一方面,您需要執行一些取證以找出可能發生的事情並防止它再次發生。

以下是值得檢查的事項列表:

  • 查看您的網路伺服器和 ftp 伺服器版本中是否存在已知漏洞
  • 盡可能查看每個日誌文件,尤其是網路伺服器、ftp 伺服器和系統日誌文件。在網路伺服器日誌文件中,檢查文章
  • 是否有任何您不需要的服務正在執行?它們可以從 Internet 訪問嗎?立即關閉它們,檢查它們的日誌並檢查可能存在的已知漏洞。
  • 執行 rootkit 檢查程序。它們並非萬無一失,但可以引導您朝著正確的方向前進。chkrootkit 尤其是 rkhunter 是完成這項工作的工具
  • 從伺服器外部執行 nmap 並檢查是否在任何不應該監聽的埠上監聽。
  • 如果您有 rrdtool 趨勢應用程序(如 Cacti、Munin 或 Ganglia),請查看圖表並蒐索可能的攻擊時間範圍。

另外,請始終牢記這一點:

  • 關閉所有你不需要的服務
  • 備份重建伺服器所需的一切並定期測試備份
  • 遵循最小特權原則
  • 更新您的服務,尤其是關於安全更新
  • 不要使用預設憑據

希望這可以幫助!

引用自:https://serverfault.com/questions/149067