为了准备在渗透后迁移服务器,我们希望清理我们的数据并确保它不包含任何恶意黑客或安全漏洞。
为了让您了解我的意思,下面是我们将运行的测试列表(到目前为止):
1)将每个文件与恶意关键字列表进行比较(eval、base64、iframe、viagra 等)2)扫描任何带有多个句点的文件(过去曾是被黑客入侵文件的症状)3)查明任何名称过长的文件(另一个症状)
有什么想法我应该添加到这个列表中吗?
答案1
这是一种“马跑了之后”的建议,但这是一个很好的理由来将尽可能多的数据置于某种版本控制之下 - 它使得(a)识别更改和(b)回滚到已知的良好点变得微不足道。
如果您定期备份数据(并且数据量不是太大),您可以从过去“已知良好”的时间点恢复数据,然后将其与您的活动数据进行区分;如果您的备份相对频繁而合法更改不频繁,那么这是一种很好的方法,可以找出在渗透过程中修改了哪些文件(如果有的话)。
答案2
如果你的环境中有 Windows,我会用免费版本的Malwarebytes 的反恶意软件。
答案3
我建议同时运行 Clamscan 和 Linux Malware Detect (LMD)。它们应该可以捕获大多数常见的恶意代码。
当然,如果攻击者自定义了某些代码,那么只有手动检查每个文件才能发现它。