网站被污损了,我该怎么办?

网站被污损了,我该怎么办?

我公司的网站被破坏了,如果我有 Apache 原始访问日志,我可以做些什么来分析何时以及出了什么问题?

我的意思是,在成千上万行日志中要注意什么?

谢谢您的帮助

答案1

Daisetsu的回答是正确的。
但是,您也许可以在不雇用全职出口的情况下完成一些分析。
我添加了几个简短文章的链接,这些链接将让您了解可以做什么。

  1. Web 安全面试问题在 WebAppSec
  2. 使用 Web 服务器日志查找受感染的 Web 服务器在 DigitalOffencive
  3. 什么网站被污损后该怎么做

建议:将这个问题移至 ServerFault 可能会得到更多关于可以做什么的直接答案。

答案2

当系统受到损害/破坏时,您永远无法确定是否一切都已清理干净,恕我直言,最好的解决方案始终是重新安装它,但您需要进行一些取证来了解发生了什么并防止它再次发生。

以下是需要检查的重要事项列表:

  • 查看所有日志文件,尤其是网络服务器和系统日志文件。在网络服务器日志文件中,检查帖子
  • 运行 rootkit 检查器。它们并非万无一失,但可以引导您找到正确的方向。chkrootkit 和 rkhunter 是完成这项工作的工具
  • 从服务器外部运行 nmap,检查是否有程序监听不该监听的端口
  • 如果您有一个 rrdtool 趋势应用程序(如 Cacti、Munin 或 Ganglia),请查看图形并搜索可能发生攻击的时间范围。
  • 检查您的网络服务器的版本,看看是否存在已知的安全问题。

此外,请始终牢记这一点:

  • 关闭不需要的服务
  • 定期测试备份
  • 遵循最小特权原则
  • 更新你的服务,尤其是安全更新
  • 不要使用默认凭据

希望这可以帮助。

答案3

是的,这就是所谓的网络取证。它本质上是查看网络和服务器日志,以找到攻击的来源和被破坏的内容。不过,要做到这一点,您通常需要取证专家,即使您确实知道发生了什么,您能做的最坏的事情也只是起诉攻击者或让他们被指控犯罪行为。网页篡改实际上并不被视为重大犯罪,除非公司因攻击而损失了金钱。如果情况严重,您应该联系相关部门,他们会帮助收集证据。以下是网络犯罪联系人的列表。 http://www.justice.gov/criminal/cybercrime/reporting.htm 这也不能算作法律建议。

相关内容