我们的服务器托管着一个网站,但我们发现我们的数据库添加了一些表,所以我们怀疑服务器是否被黑客入侵了?
我该如何确认并解决此问题?
答案1
最简单的第一步是使用 rootkit 查找应用程序,您不必说明您使用的是哪种操作系统,但在 Linux 上,这将是 chkrootkit 或 rkhunter。这些应该会告诉您是否有任何二进制文件被恶意版本更改。
一般来说,不要使用系统本身的任何二进制文件来寻找黑客攻击,因为如果它们是恶意的,它们可能会排除您正在寻找的输出。
接下来,像 unhide 这样的工具可以帮助您找到隐藏的进程和 TCP/UDP 端口。
之后,我会使用 openVAS 之类的程序进行漏洞扫描,以找出系统中存在哪些漏洞。
之后你要做什么取决于你发现了什么,但简而言之,如果你发现任何可疑的东西,我首选的方法是删除它并重新安装。否则你就是在按照他们的条件战斗。
答案2
如果您确实怀疑服务器遭到黑客攻击,那么最好设置一个新服务器,确保它适用于网络托管,从备份中恢复数据,并用它替换现有服务器。
了解您的服务器是否真的遭到黑客攻击可能需要一些时间,在此期间您绝对希望让服务器离线并与您的其他网络隔离。
您说,由于存在一些额外的数据库表,您认为服务器已被黑客入侵。这些表与什么相关?Web 内容?我猜您使用的是 IIS(版本?)和一些数据库。除非您提供更具体的详细信息,否则您将无法获得更多帮助。
答案3
您是否对来自网站的输入进行编码和解码?您是否使用存储过程等?
确保他们不会通过提供的用户界面“入侵”您的系统。
查看表创建/修改的时间戳,然后在您的网络日志中查找类似的条目和 IP。即基本交叉检查。如果有相应的条目,则尝试确定哪些是合法条目,哪些可能是攻击者的配置文件。如果没有相应的条目,则它们可能已被清除,或者网站界面未参与攻击。即服务器已受到其他攻击。
然后自动执行您所做的所有检查并定期检查您的系统。