清理被黑的 Ubuntu 服务器

Question

不，而且它也确实不像重新安装那么简单。

无论如何，花一些时间弄清楚入口点是什么，但这个安装现在是危险的垃圾。你必须考虑以下可能性：

被盗数据：他们现在有可用服务（例如网络应用程序）的密码吗？您可能需要重置大量密码，并且（重要的是）如果您持有人们的个人数据和/或登录凭据，请通知他们。
访问文件：重新安装并复制文件是不够的。您需要确保您的文件是您的文件。一种非常常见的黑客行为是将代码注入网络文件（为黑客做广告并感染僵尸网络的访问者）。您根本无法信任来自服务器的数据。这就是为什么我们使用版本控制，不让生产服务器写入，不是吗？
还发生了什么？添加用户、更改组、添加服务、被污染的服务（就像“Windigo行动”使用的）...你只是不知道这个服务器发生了什么。您可以通过法医方式将其拆开，但这可能会使其容易受到进一步的攻击，并且需要花费数周的时间。

简而言之，您需要构建一个新服务器，需要恢复文件的安全副本，并且需要检查和检查任何数据库数据，以确保它们没有掉入额外的访问路径中。哦，您需要通知您持有数据的用户和人员。

阅读了您对这个问题的评论以及您迄今为止的经验后，很可能值得聘请有经验的人来设置和维护服务器的下一次发展。这些都是你可以学习的东西，但也是你需要维护的东西。

对服务器采用“即发即弃”的方法是极其危险的。

Answer 1

不，而且它也确实不像重新安装那么简单。

无论如何，花一些时间弄清楚入口点是什么，但这个安装现在是危险的垃圾。你必须考虑以下可能性：

被盗数据：他们现在有可用服务（例如网络应用程序）的密码吗？您可能需要重置大量密码，并且（重要的是）如果您持有人们的个人数据和/或登录凭据，请通知他们。
访问文件：重新安装并复制文件是不够的。您需要确保您的文件是您的文件。一种非常常见的黑客行为是将代码注入网络文件（为黑客做广告并感染僵尸网络的访问者）。您根本无法信任来自服务器的数据。这就是为什么我们使用版本控制，不让生产服务器写入，不是吗？
还发生了什么？添加用户、更改组、添加服务、被污染的服务（就像“Windigo行动”使用的）...你只是不知道这个服务器发生了什么。您可以通过法医方式将其拆开，但这可能会使其容易受到进一步的攻击，并且需要花费数周的时间。

简而言之，您需要构建一个新服务器，需要恢复文件的安全副本，并且需要检查和检查任何数据库数据，以确保它们没有掉入额外的访问路径中。哦，您需要通知您持有数据的用户和人员。

阅读了您对这个问题的评论以及您迄今为止的经验后，很可能值得聘请有经验的人来设置和维护服务器的下一次发展。这些都是你可以学习的东西，但也是你需要维护的东西。

对服务器采用“即发即弃”的方法是极其危险的。

相关内容