这与我们不得不处理的一次黑客事件有关。黑客将一个 php 文件插入我们的系统。有问题的目录确实从我们的 cmsadmin 接收上传(图像)。但是,通过我们的 cmsadmin 上传的所有文件都具有相同的所有者和权限(owner: theadminsname, permissions: 777)。另一方面,非法插入的文件具有owner: apache, permissions: 644
我的问题:所有者和权限的差异是否能说明文件是如何插入的?如果他们通过我们的 cmsadmin 上传了文件,那么该文件的所有者和权限是否与其他上传的文件相同?所有者是 apache 是否表示有不同的路由,还是他们只是将其更改为那样,因为这是一个常见的 apache 所有者名称?
还有一件事。插入的文件被放置在我们自定义 cms 的一个部分中。然后它为黑客提供了一个表单,用于更改第三方广告程序中的文件(除其他外)。他们会将文件上传到我们自定义的 cmsadmin(位于与广告系统完全不同的目录结构中,两者之间没有互操作性),然后使用它来操纵这个第三方广告程序,这似乎很奇怪。cmsadmin 和广告程序管理员位于不同的目录中,并且没有任何编程上的连接。这一切都让我怀疑攻击不是通过我们的 cmsadmin 或广告系统中的弱点进行的,而是通过网络主机中的弱点进行的。
大家觉得怎么样?
答案1
当然,文件似乎是通过运行在网络服务器上的代码上传的。但是确保上传的内容
1)与网站的其他部分分开
2)存储在明确配置为阻止执行的位置
是一个非常基本和根本的安全原则:你被黑客入侵是你的错。
所有者是 Apache 这一事实是否表示有不同的路线,或者他们只是将其更改为那样,因为这是一个很常见的 Apache 所有者名称?
可能 - 这是什么操作系统?在 Unix 上,只有 root 才能更改文件 - 这意味着如果他们没有通过 Web 服务器上传文件,那么他们就有 root 访问权限 - 如果他们有 root 权限,为什么会留下如此混乱的痕迹?
cmsadmin和广告程序admin在不同的目录中
那又怎么样?除非他们在不同的服务器上,否则他们无法交互(即使在单独的服务器上他们也可以)。
C。
答案2
如果不了解详细设置,根据您提供的信息很难做出任何判断。可能性太多了,我们能做的最好的就是猜测。
您能做的最好的事情就是尝试了解发生了什么。分析日志文件,看看是否有任何发生的事情的痕迹。正如您所提到的,这似乎不是专业人士的工作,而是一些随机脚本小子甚至一些自动漏洞扫描程序的工作。
然后,在您找到所需内容后,最好的办法是格式化磁盘并重新安装所有内容。
对于未来,嗯,您可以实施一些东西(或多或少容易),例如入侵检测系统(如 AIDE/tripwire)、远程系统日志、更严格的防火墙规则(过滤入站和出站)、更好的日志记录/审计跟踪和警报、定期手动审计和最佳实践审查以及使用漏洞扫描器(如 Nessus)。但是,如果您有疑虑,还有更多,更多——渗透测试、DMZ、隔离网络、网络 ACL、RSA 安全令牌、SELinux/AppArmour……您明白了。至于何时停止,则取决于您。
我知道有很多事情。安全很难。