我被黑了,現在我對一些事情有點困惑
昨天我注意到我的網站被黑客入侵了,此時我真的對一些事情感到困惑。據我所知,所有被編輯或添加的文件都是使用特定使用者帳戶完成的;與某些不再使用的軟體相關聯的軟體應該被刪除,但沒有。
我刪除了所有這些文件——除了一個*——並刪除了使用者帳戶,修復了編輯過的文件等。幾乎所有的編輯都在網站的 wordpress 端。大多數網站不是 wordpress,但它們位於同一物理伺服器上。所有的編輯和添加都在被刪除使用者或 www-data 擁有的目錄中。
*我沒有刪除的文件——但我重命名並移動了它——是黑客使用的工具之一……它的頂部有“Web Shell by oRb”,但我能告訴你的就是這些了.
這讓我想到了我的第一個問題(我知道我過於冗長,抱歉) - 使用這個工具,我可以在 www-data 擁有的任何目錄中編輯或創建文件,並且我幾乎可以讀取每個文件中的每個文件機器上的目錄。所以我的問題是,這個工具是否只能因為它已經在伺服器上才能做到這一點?還是我只是敞開心扉?
我的第二個問題是,Web 伺服器的最佳權限是什麼?我知道這已經被問了一百萬次了。我這邊的伺服器都有我作為所有者的帳戶和我的組 - 只有我 - 作為組。wordpress(我變得非常警惕)方面全部歸 www-data 所有。這合適嗎?rwx 權限應該是什麼?
我真的不希望任何人診斷出這個大問題 - 他們首先是如何進入的 - 但對第二個問題,主要是第一個問題的任何澄清將不勝感激!
謝謝!
wordpress 方面全部歸 www-data 所有。這合適嗎?
一般是不合適的。確實,wordpress 確實需要 www-data 可以寫入的數據目錄,但在大多數情況下,www-data 不應擁有任何文件或文件夾。www-data 擁有的任何東西都可以由網路伺服器更新。如果您有錯誤的 PHP 程式碼(或任何其他伺服器端技術),那麼攻擊者可能會以某種方式欺騙有錯誤的 PHP 程式碼來更新其中一個 PHP 腳本,以執行攻擊者想要的操作,從遠端伺服器連結下載文件並安裝它在你係統的某個地方。
一些 Web 應用程序需要在文件系統上寫入數據。除了極少數例外,您幾乎不應該允許從這些數據目錄執行任何類型的腳本。