我有一台服务器运行的是旧版本的 lighttpd(在 freebsd 6.2-RELEASE(是的,旧)机器上运行 1.4.19),然后谷歌提醒我,它在我的服务器的一个页面上发现了恶意软件。它恰好是我们的索引页。我立即删除了恶意软件,并开始查看服务器日志,了解它是如何进入的。在编辑文件的任何日志中都找不到任何痕迹,我注意到索引页的所有者已更改为 www,即 lighttpd 用户。然后我得出结论,该软件版本一定存在某种漏洞,并立即升级到 1.4.26。
现在恶意软件又回来了。我已经开始使用 ftp、lighttpd 和所有登录尝试进行一些非常详细的服务器日志记录,以尝试查看此脚本是如何进入的。他们有没有其他方法的建议?
答案1
您的网站遭到入侵/破坏,发生这种情况时,通常很难重现所有攻击者的步骤,最好的解决方案是重新安装被入侵的服务器。另一方面,您需要进行一些取证,以查明可能发生的事情并防止再次发生。
以下是值得检查的事项列表:
- 查看你的 web 服务器和 ftp 服务器版本中是否存在已知漏洞
- 查看所有日志文件,尤其是 Web 服务器、FTP 服务器和系统日志文件。在 Web 服务器日志文件中,检查帖子
- 是否有任何您不需要的服务正在运行?它们可以从互联网访问吗?立即关闭它们,检查它们的日志并检查可能的已知漏洞。
- 运行 rootkit 检查器。它们并非万无一失,但可以引导您找到正确的方向。chkrootkit 和 rkhunter 是完成这项工作的工具
- 从服务器外部运行 nmap 并检查是否有东西在监听不应该监听的端口。
- 如果您有一个 rrdtool 趋势应用程序(如 Cacti、Munin 或 Ganglia),请查看图表并搜索可能发生的攻击时间范围。
此外,请始终牢记这一点:
- 关闭所有不需要的服务
- 备份重建服务器所需的一切,并定期测试备份
- 遵循最小特权原则
- 更新你的服务,尤其是安全更新
- 不要使用默认凭据
希望这可以帮助!