可能重复:
我的服务器被黑了 紧急求助
我已经采取了所有安全措施和日志监控工具。但现在,如果发现我的系统上有 rootkit,我不知道该怎么办。
如果我的系统上有正在运行的实时网站,并且我也无法关闭服务器。我该如何清除感染
关于备份,我应该备份整个 Linux 系统还是只备份 public_html 目录和数据库。因为我目前只备份那些文件夹。
我有 VPS,而且我的托管公司每天都会拍摄快照,但还有什么其他方法可以保证安全,以便如果我感染了某些 rootkit,我可以恢复它。
答案1
如果您的 Web 服务器有病毒,仅有的最安全的做法是从外太空发射核弹。没错,把它放到下一次航天飞机任务上,确保它被抛到离地球足够远的地方,这样我们就不会全部被 EMP 或放射性尘埃笼罩,然后按下让它爆炸的红色按钮。
如果这不可行,太昂贵,或者你当地的购物中心已经没有核弹了,那么唯一的其他确保病毒消失的一种方法就是格式化服务器。您的托管服务提供商可能会帮助您设置第二个 VPS,并给您一个月左右的时间将所有内容移到新 VPS 上,然后再关闭并删除当前实例。当然,如果您只是将所有内容不加区分地从旧 VPS 迁移到新 VPS,那么您很可能会将病毒带入其中。
如果您在那里有客户数据,并且存在泄露数据的风险、参与僵尸网络的风险或系统中留下了后门的风险,那么您有义务为您的客户尽一切努力,而简单地扫描/删除任何已知病毒是不够的,因为您永远不知道他们留下了什么。
关于备份,我想说你做得对,因为你不应该对public_html文件夹和数据库中的任何内容拥有执行权限,也不太可能藏有任何恶意内容。
答案2
我建议您只备份您的数据:您的站点文件和数据库数据。不要将这些备份放在系统中。如果您被感染或服务器受到攻击,您可以让您的主机“初始化”服务器(重置为原始状态),然后复制您的数据,您就可以使用干净的服务器重新上线。
我还建议您清理您的系统,找出您最初是如何被感染/感染的,并采取措施防止这种情况再次发生。
答案3
备份,备份,备份。遗憾的是,如果不格式化并从备份中恢复,就无法确保 rootkit 已经消失。我会保留每个服务的数据目录的备份(Web 服务器,所以/home/*/public_html和/var/www;MySQL,可能/var/lib/mysql,阅读您使用的每个服务以查找文件存储的位置)和配置的备份(/etc),以及您对系统和主目录所做的任何本地更改(/home/*,/usr/local/*)至少。
进一步阐述潜在的 rootkit,一旦它们获得 root 权限,就有可能掩盖每一个表明它们存在于受感染的系统中。