我所在的公司在 VPS 上运营一系列电子商务商店。这是一个 WAMP 堆栈,50GB 存储空间。
我们使用一款几乎完全在客户端运行的旧式电子商务软件。收到订单后,它会将订单写入磁盘,然后我们安排任务每 10 分钟下载一次订单。
几天前,我们的磁盘空间不足,导致订单无法写入。我迅速采取行动,从邮件服务器中删除了一些旧日志,很快就释放了几 GB 的空间,但我不知道如何用日志填满 50 GB。
事实证明,我们没有。在c:\System Volume Information目录深处隐藏着一堆盗版视频,这些视频似乎是在过去三周内出现的(从时间戳来看)。色情、美国体育、澳大利亚烹饪节目。非常奇怪的收藏。看起来不像是个人的品味 - 更像是 VPS 被用作了骡子。
我们的 FTP 服务器采用 5 次尝试后您将被阻止的策略(另外,没有 FTP 帐户可以访问该目录),并且 Windows 用户帐户的密码最近已更改。主要通道已被封堵 - 日志可以验证这一点。我想看看这种情况是否会再次发生,是的,今天早上又出现了另一个烹饪节目。
我是公司里唯一知道此问题的人,也是两个有权访问 VPS 的人之一(另一个是我的领导,但不是他)。
那么这是怎么发生的呢?
VPS 上的某些软件是否存在漏洞?VPS 所有者是否在我们租用的空间上兜售盗版软件?(他们可以这样做吗?)
我不想删除盗版软件,以防它被视为对外部势力的敌对行动,而他们选择进行报复。
我该怎么办?我该如何解决这个问题?以前有其他人遇到过这种情况吗?
答案1
如果不审计代码(您使用的是自定义商店软件吗?),您就无法知道是否存在被利用的错误(即使您没有发现任何东西,也不意味着它不存在)。例如,您是否在使用自定义 SQL 代码?是否对输入进行了健全性检查和清理?
我假设您的所有系统都已完全更新?恶意软件检查?防病毒软件是否已更新?
一旦有人破解了系统,他们就可能对其进行 rootkit 攻击。无论你如何更改或修改密码,如果系统中的某些内容已被更改以允许后门访问,你就无法阻止它。最重要的是,它可能会记录你的密码更改和按键,所以你只是向攻击者提供了更多密码。
您可以进行审计以查看连接来自何处,但我怀疑这是否能提供很大帮助。
最后,你需要考虑清除并从头开始重新安装。这是仅有的这样您就可以再次信任该安装,并且知道它没有木马代码,因为一旦控制了感染,它就可以掩盖自身。
更可怕的是,如果您接受信用卡,这些信息可能会被盗用,您将对客户身份被盗用承担责任。如果您在美国,则会产生后果,您需要通知客户可能的身份被盗用。
如果这是一台处理任何涉及金钱的服务器,您可能需要考虑聘请承包商来审计系统。拍摄系统图像以供取证使用,然后擦除并重新安装。等待的时间越长,您承担的责任就越大。
要回答它是如何发生的,如果服务器是专用服务器,它可能会破解您店面中的某些东西(例如,SQL 注入)Windows 中的漏洞没有修补任何使用该系统的 Web 浏览器?“驱动”网站上的下载程序。在其上运行不是来自系统的软件?可能被某种东西感染了。弱密码。曾经审核过它们吗?而且您可能不会轻易知道他们是如何做到的。我打赌店面软件是问题所在,尤其是如果它是小众软件,因为开发人员很容易不清理 URL 中的输入并将其打开以进行注入攻击。或者如果它使用 PHP 向外部开放接口;您是否会保持最新状态?您没有提到它是否使用类似 php 管理界面的东西,但草率的 php 编码也会增加一个容易的攻击媒介。
如果您完全不知道如何应对这种情况,请认真地聘请外部帮助。寻求帮助并不丢人,经验法则是,一旦被黑客入侵,您就无法确定它是否已修复,如果客户数据在该系统上流动,您将承担责任并伤害无辜的客户。此外,如果该系统未与网络上的其他系统隔离,它可能会尝试拦截其他系统的数据。
答案2
首先,我认为你会发现至少有三个人可以访问 VPS,而不仅仅是你知道的两个人。我相信系统已被黑客入侵并被接管。我还怀疑它现在托管 P2P 网络的文件,很可能是种子。你可以搜索 *.torrent 文件,但它们可能隐藏在你的视野之外。
您不再能控制系统。他们只是给您留下了这种错觉。如果他们没有粗心大意地用完所有磁盘空间,他们可能还能逍遥法外很长时间。顺便说一句,即使是最基本的监控系统也应该会提醒您磁盘空间正在减少。
此时,您需要听从 Bart 的建议,以系统快照的形式收集取证证据。然后彻底清除系统快照,重新安装。此时,您的备份可能毫无价值,因为您无法真正知道黑客攻击发生的时间。
您需要考虑如何才能更好地保护您新重建的系统。就此而言,我会考虑在新主机上重建系统,并继续使用现有系统,直到系统准备就绪,然后再进行切换。