我有一个网站,数据库表里的 mysql 条目被删除或更改了值。
我很快就找到了黑客,但他只做了一些小改动。
我在网站上有一些表格。他有可能使用注射吗?
如何弄清楚他是怎么做到的?首先要测试什么?
答案1
您是否将系统更新至最新状态?
这是定制编程工作吗?如果是,您需要查明是否是某种注入或错误并进行修复。
如果是没有及时修复漏洞和/或更新,则需要清除备份并重新开始,然后将其更新到最新版本。您不能相信它没有被后门更改。即使是 rootkit 检查程序也可能被欺骗或无法对所有东西进行检查;入侵者总是有可能给您留下一些“礼物”。
恢复后,安装类似 Tripwire 的程序,它可以保存文件的 MD5,并帮助查找系统二进制文件的更改(当然,不要将比较文件保存在同一台服务器上)。这会很麻烦,但这是确保您的系统二进制文件将来不会受到损害的唯一方法。
总结:您的系统已被黑客入侵,您不能再信任它。找出入侵的原因,以便您可以堵住漏洞,从备份中恢复,修复漏洞,采取措施监控系统,以防将来再次入侵。
答案2
- 检查 MySQL bin 日志(my.cnf 中的 log_bin,ubuntu 中的 /var/log/mysql/)。使用 mysqlbinlog 实用程序。
- 检查你的网络服务器日志。首先是错误日志,然后是访问日志。
- 检查 ssh 日志,最后使用命令。
- 检查 rootkit。使用 chkrootkit、rkhunter 或 rkhunter。