我的一个网站一直是“Pharma Hack”的攻击目标 - 但该网站使用的是 Drupal,而不是 Wordpress 或 Joomla。该网站的版本是第 6 版,但已更新至最新版本,我安装的所有模块也都已更新。
我已经更改了密码、删除了有问题的文件、完全重新安装了该网站,但不知何故他们仍然获得访问权限...该网站是一个非营利组织,它严重影响了我们在 Google 等网站上的搜索结果。
答案1
您不能相信从服务器本身获得的任何统计数据或指标。它可能有一个 rootkit(或多或少是基于 POSIX 的委婉说法)病毒)。如果您绝对必须分析服务器,则需要分析从 NIC 发出的流量。使用 TAP/镜像端口并准备筛选一堆垃圾。当然,服务器可能没有 rootkit。清理服务器可能是一件简单的事情。当然,您可以使用类似Rootkit 猎手并尝试纠正这种情况。
我再说一遍:你再也不能相信你在服务器上看到的东西了。你必须走出服务器才能知道到底发生了什么。
最好的选择是从轨道上用核武器轰炸它。
重建它。监控文件系统的每一个变化。了解绊线。Inotify 也。
阅读此 ServerFault 线程“我的服务器被黑了 紧急求助。”两次。仅此而已。