他们侵入了我的 VPS 并更改了 root 密码。幸运的是,我的提供商已经为我重置了它,现在我再次拥有了控制权。
现在我想确保他们没有安装任何我不知道的东西或服务(例如,利用它进行一些非法下载/上传等)。
有没有任何工具或做法可以确保我的服务器干净?我想避免从头开始重新安装它。
答案1
不,而且它也确实不像重新安装那么简单。
无论如何,花一些时间弄清楚入口点是什么,但这个安装现在是危险的垃圾。你必须考虑以下可能性:
被盗数据:他们现在有可用服务(例如网络应用程序)的密码吗?您可能需要重置大量密码,并且(重要的是)如果您持有人们的个人数据和/或登录凭据,请通知他们。
访问文件:重新安装并复制文件是不够的。您需要确保您的文件是您的文件。一种非常常见的黑客行为是将代码注入网络文件(为黑客做广告并感染僵尸网络的访问者)。您根本无法信任来自服务器的数据。这就是为什么我们使用版本控制,不让生产服务器写入,不是吗?
还发生了什么?添加用户、更改组、添加服务、被污染的服务 (就像“Windigo行动”使用的)...你只是不知道这个服务器发生了什么。您可以通过法医方式将其拆开,但这可能会使其容易受到进一步的攻击,并且需要花费数周的时间。
简而言之,您需要构建一个新服务器,需要恢复文件的安全副本,并且需要检查和检查任何数据库数据,以确保它们没有掉入额外的访问路径中。哦,您需要通知您持有数据的用户和人员。
阅读了您对这个问题的评论以及您迄今为止的经验后,很可能值得聘请有经验的人来设置和维护服务器的下一次发展。这些都是你可以学习的东西,但也是你需要维护的东西。
对服务器采用“即发即弃”的方法是极其危险的。