网站被黑客入侵，寻求安全建议

Question 1

至于与 pingdom 类似但应用于安全的服务，我建议使用 Sucuri 的免费网络完整性监视器。

它能做什么？它实时监控你的网站（和域名），一旦网站被篡改、列入黑名单、被黑客入侵等，就会向你发出警报。链接：http://sucuri.net

顾名思义，它监控您的“互联网”存在的完整性。

*免责声明：我开发了它。

Answer

至于与 pingdom 类似但应用于安全的服务，我建议使用 Sucuri 的免费网络完整性监视器。

它能做什么？它实时监控你的网站（和域名），一旦网站被篡改、列入黑名单、被黑客入侵等，就会向你发出警报。链接：http://sucuri.net

顾名思义，它监控您的“互联网”存在的完整性。

*免责声明：我开发了它。

Question 2

操作系统并非“稳定且安全”。正确配置和管理良好的基础设施可以比不安全的基础设施更安全，但安全性不是布尔值。您无法通过使用特定产品/技术来“购买安全性”或“安装安全性”。

你不是“Linux 专家”，所以从安全角度来看，你需要雇佣/签约能够很好地配置你的服务器的人，这是有道理的。这不是你可以做一次就能“完成”的事情。补丁正在发布每时每刻查找新发现的漏洞和错误。如果您没有负责维护的员工，您确实需要考虑订购某种“托管”服务来维护您的服务器计算机。这是一个持续关注的问题，需要将其计入整个系统的预算/TCO。

某种程度上，存在“黑客监控器”。入侵检测系统 (IDS)、入侵防御系统 (IPS) 等填补了这一空白。不过，这是一场军备竞赛。您不能只购买现成的 IDS/IPS 产品，付钱让某人安装它，然后高枕无忧，沾沾自喜。就像保持操作系统软件和应用软件的补丁一样，“黑客监控器”基础设施也必须保持最新状态。

你需要找律师谈谈。根据法律，你的客户可能位于你必须披露此类事件的地方。即使你不是，如果你不让你的客户知道他们的数据是否处于危险之中，在我看来，这肯定是卑鄙的。现在披露黑客攻击事件会损害“你的名誉”，但如果后来发现你试图掩盖此事，那么损害将是多重的——尤其是如果你这样做是违法的。

实用内容：

被黑客入侵的机器已经是垃圾了。它们需要从已知良好的备份中重新加载，或者更好的方法是从干净的操作系统二进制文件重新加载并重新填充数据。这就像“恶意软件清理”，但更糟糕，因为你的对手更有可能是一个有思想的生物，而不是一个愚蠢的软件（尽管你可能被“机器人”入侵了）。你的服务器中存在“后门”的可能性是真实存在的。

服务器计算机上的数据应该被视为已向公众披露。即使现在还没有，但也有可能会。

被黑客入侵的计算机上存储的其他计算机的任何凭据都是公开的。开始更改其他计算机的密码现在并确保其他计算机完好无损。（还有人使用 Tripwire 吗？在这种情况下，这肯定会很好……）

你现在很乱。处理好它，你会过得更好。处理不好，下次你可能就没公司了。

将来，您应该使用强身份验证和加密管理协议（SSH，基于公钥的身份验证）。我已经建议您聘请“Linux 专家”，即使只是合同制，也能帮助您走上正确的道路。我极力鼓励您这样做。您将会看到，通过这次入侵，这样做将如何“物有所值”。

所有常见内容均适用：

不要运行您不需要的服务。
禁用默认凭据。
遵循最小特权原则。
已测试、离线和异地备份。
了解有关违规披露的法律要求。
保持您的系统/应用程序更新。

Answer

操作系统并非“稳定且安全”。正确配置和管理良好的基础设施可以比不安全的基础设施更安全，但安全性不是布尔值。您无法通过使用特定产品/技术来“购买安全性”或“安装安全性”。

你不是“Linux 专家”，所以从安全角度来看，你需要雇佣/签约能够很好地配置你的服务器的人，这是有道理的。这不是你可以做一次就能“完成”的事情。补丁正在发布每时每刻查找新发现的漏洞和错误。如果您没有负责维护的员工，您确实需要考虑订购某种“托管”服务来维护您的服务器计算机。这是一个持续关注的问题，需要将其计入整个系统的预算/TCO。

某种程度上，存在“黑客监控器”。入侵检测系统 (IDS)、入侵防御系统 (IPS) 等填补了这一空白。不过，这是一场军备竞赛。您不能只购买现成的 IDS/IPS 产品，付钱让某人安装它，然后高枕无忧，沾沾自喜。就像保持操作系统软件和应用软件的补丁一样，“黑客监控器”基础设施也必须保持最新状态。

你需要找律师谈谈。根据法律，你的客户可能位于你必须披露此类事件的地方。即使你不是，如果你不让你的客户知道他们的数据是否处于危险之中，在我看来，这肯定是卑鄙的。现在披露黑客攻击事件会损害“你的名誉”，但如果后来发现你试图掩盖此事，那么损害将是多重的——尤其是如果你这样做是违法的。

实用内容：

被黑客入侵的机器已经是垃圾了。它们需要从已知良好的备份中重新加载，或者更好的方法是从干净的操作系统二进制文件重新加载并重新填充数据。这就像“恶意软件清理”，但更糟糕，因为你的对手更有可能是一个有思想的生物，而不是一个愚蠢的软件（尽管你可能被“机器人”入侵了）。你的服务器中存在“后门”的可能性是真实存在的。

服务器计算机上的数据应该被视为已向公众披露。即使现在还没有，但也有可能会。

被黑客入侵的计算机上存储的其他计算机的任何凭据都是公开的。开始更改其他计算机的密码现在并确保其他计算机完好无损。（还有人使用 Tripwire 吗？在这种情况下，这肯定会很好……）

你现在很乱。处理好它，你会过得更好。处理不好，下次你可能就没公司了。

将来，您应该使用强身份验证和加密管理协议（SSH，基于公钥的身份验证）。我已经建议您聘请“Linux 专家”，即使只是合同制，也能帮助您走上正确的道路。我极力鼓励您这样做。您将会看到，通过这次入侵，这样做将如何“物有所值”。

所有常见内容均适用：

不要运行您不需要的服务。
禁用默认凭据。
遵循最小特权原则。
已测试、离线和异地备份。
了解有关违规披露的法律要求。
保持您的系统/应用程序更新。

Question 3

看来我们的密码很弱……

...我们最近从 Windows 切换到 Linux，因为它应该更稳定、更安全。想想看。

弱密码与平台无关。

在许多情况下，Linux 比 Windows 更灵活，因此在出现某些情况时可以提高安全性。毫无理由地从 Windows 切换到 Linux 是一个错误的决定，尤其是在您不熟悉环境的情况下。如果您运行面向互联网的服务器，但不了解该服务器上的服务如何工作，无论是 Windows、Solaris、RHEL 还是 BSD，您都是在自找麻烦。

至于如何告诉您的客户，如果他们的任何数据被泄露，甚至可能被泄露，请尽快给他们打电话。没有电子邮件，希望它不会消失。使用您桌上的电话。

除了法律后果之外，你为他们提供的服务无疑会以某种方式为其他人提供服务。你有责任向他们披露任何潜在的数据泄露事件，以便他们可以相应地调整工作流程，并通知下游可能受到影响的任何人。

Answer

看来我们的密码很弱……

...我们最近从 Windows 切换到 Linux，因为它应该更稳定、更安全。想想看。

弱密码与平台无关。

在许多情况下，Linux 比 Windows 更灵活，因此在出现某些情况时可以提高安全性。毫无理由地从 Windows 切换到 Linux 是一个错误的决定，尤其是在您不熟悉环境的情况下。如果您运行面向互联网的服务器，但不了解该服务器上的服务如何工作，无论是 Windows、Solaris、RHEL 还是 BSD，您都是在自找麻烦。

至于如何告诉您的客户，如果他们的任何数据被泄露，甚至可能被泄露，请尽快给他们打电话。没有电子邮件，希望它不会消失。使用您桌上的电话。

除了法律后果之外，你为他们提供的服务无疑会以某种方式为其他人提供服务。你有责任向他们披露任何潜在的数据泄露事件，以便他们可以相应地调整工作流程，并通知下游可能受到影响的任何人。

Question 4

有趣的是，我们最近从 Windows 切换到了 Linux，因为它被认为更稳定、更安全。想想看。

想想看，确实如此。你切换到一个你没有多少经验的系统，结果却被坑了。如果你骑了一辈子的自行车，然后买了一辆高功率跑车，也会发生同样的事情——它可能更强大，但在坏人手中也很危险。

看来我们的密码很弱，但 Linux 不应该在几次登录失败后封锁该账户吗？他们尝试了 20 多种组合……

可以通过以下附加组件轻松配置它：拒绝主机。了解如何安装这些东西是成为您所使用的系统的专家所必不可少的。

除此之外，我还在寻找一种类似于 pingdom 但适用于安全的工具（或服务）。如果我的网站被黑客入侵，请提醒我。有这样的事吗？黑客监控器？:)

市面上有一些入侵检测应用程序，但破解服务器的新方法层出不穷。没有任何东西能够 100% 可靠地检测成功的入侵。

另外，您如何通知客户此类问题？您是否只是忽略并希望没人注意到？发送电子邮件解释发生了什么？

从长远来看，诚实会给你带来更好的服务。诚实、积极主动、善于沟通的公司比对客户隐瞒事情的公司更能经受住更严峻的考验。停电可以幸存下来，但如果付钱给你的人觉得被骗了，那就不行了。

Answer