我接手了一台被入侵的 Web 服务器。为了找出 Apache 挂起的原因以及服务器负载过高的原因,我在 /tmp 中找到了几个 perlbot 4.5 副本。我现在正试图找出它们是如何进入机器的,以便我可以修补漏洞。我一直在查看各种扫描仪,nessus 看起来不错,我对这台机器和其中一个托管网站进行了扫描。但有几百个网站,太多了,没有人知道所有这些网站的来龙去脉,而且我是新来的,所以我真的不知道他们可能在做什么。扫描每个网站是最好的选择吗?
如何在同一台机器上检查如此多的站点是否存在问题?
编辑后补充:我们正在清除所有内容并从备份中恢复。这很好,但仍然让我们面临原始漏洞。使用 Nessus 或 Metasploit 一次扫描每个站点,尝试找出该漏洞是什么?
编辑 2:是 phpmyadmin。尽管我注意到我们在运行它时会立即升级它,但我通过仔细查看 apache 日志发现了问题。nessus 和 metaspolit 很棒但没有帮助。(不过我可能不明白如何充分利用它们,我只是运行了基本的自动扫描)。
答案1
find / -mtime -1
将 -1 替换为您认为入侵发生后的天数。通过查找被修改的文件,您很有可能找出入侵者所用的网站。例如,在图像文件夹中查找上传的后门脚本等。
答案2
备份站点,重建服务器,然后仅添加您知道需要的文件,这些文件完全符合您的预期。
这实际上比尝试清理受损系统的工作量要小。
如果您执意要查找漏洞,请修补服务器,然后对其运行 metasploit。我还会观察 netstat 以查看正在建立哪些连接。我还会禁用任何不属于那里的帐户。检查启动时启动的内容是否有异常。列表还在继续...
http://sectools.org/列出了他们最常用的 125 种安全工具,您可以进行一些筛选。这可能会帮助您选择工具,但为此您必须自己进行研究。
我上次需要使用 metasploit 或 nessus 已经是几年前了,所以我不记得使用它们的具体细节了。
答案3
假设您已决定重建服务器,作为事后分析,您可以执行以下操作:
制作损坏机器的只读映像并安全存储
在有问题的服务器上复制文件系统。为此,您需要另一个具有足够空间的驱动器或已安装的卷;查看日工具。如何使用它取决于您是否有一个大的根“/”分区,或者许多 /var /usr 和 /lib 文件系统等。
在安全的沙盒环境中进行取证
将有问题的文件系统映像的副本移至安全位置,例如 VirtualBox 中的客户 ubuntu。专门准备沙盒虚拟主机。安装 sleuthkit、foremost、clamav、autopsy 等工具。
以安全合理的方式进行尸检
不要让沙盒访问互联网或本地驱动器。流程结束后删除沙盒客户端。做笔记,记录更改。
答案4
首先要做的是让所有网站下线。如果您的网站受到攻击,它们可能被用来托管恶意文件和/或发送垃圾邮件。
第二件事是提醒任何网站使用的任何交易银行服务。
第三件事是提醒你的用户群。这三个步骤可以在一小时内完成,如果你还没有这样做,那就没有借口了。