我继承了一台已被黑客入侵的 Linux Apache CentOS plesk 服务器,上面有正在生产的网站。
我的朋友建议我从头开始重建它,因为这次攻击显然非常广泛,而且很难检测到显然是什么被破坏了。
我从来没有重建过服务器,而且我一开始也没有设置过服务器,所以我想问的是,是否有一个方法或一个易于遵循的清单,说明如何实现重建并恢复一切?
答案1
在此阶段,正常的反应是“删除它,重新格式化,然后从备份中恢复”。
有吨在这里或在谷歌上的相关问题,尝试搜索一下。
编辑:哦,在修复之前请将其断开连接。:)
答案2
这个建议很合理。一旦有人进入,他们就会频繁创建多个自我重建的后门和其他好东西。除了从头开始,没有其他方法可以验证你是否已经摆脱了它们。我以前也经历过,这并不好玩。
chkconfig --list 将显示正在运行的服务。您需要查看3 或 5查看服务器上是否还有其他重要程序在运行。默认情况下会有很多服务在运行,您实际上不需要担心。对于重要的服务,请保留一份配置文件副本以供参考,但不要将它们复制到新服务器。也许将它们打印出来是可行的方法。您需要验证和了解设置,以确保它们没有被更改为任何有害的东西,但至少您会有一个需要做的事情的起点。
对于数据文件(网页),希望您能从其他服务器上的备份或源存储库中获取它们,而不必从被黑的服务器中复制它们。如果您必须复制它们,您可以尝试使用防病毒软件扫描它们,然后查找任何异常并希望获得最好的结果。
答案3
为了帮助您下次设置服务器,您还应该查看自动安装软件。
重要的是,它应该是一个完整的安装和设置,无需任何人为的接触,直到从备份中恢复数据并允许服务器重新连接到网络之前。
它将帮助您和未来的管理员在发生各种灾难(如硬件故障和此类黑客事件)后恢复服务器。我还将为您的服务器软件和配置提供良好且最新的文档。