我注意到网站上添加了一个新文件夹,它被用来从我们的网站进行网络钓鱼。我想它是几天前添加的。添加的代码页显示“报告网络伪造!”。由于权限问题,我几乎没有删除该文件夹。
现在我该怎么办?我该如何检查它是如何被黑客入侵的?
谢谢
答案1
你不应该尝试修复它,而应该从头开始,因为这是确保没有其他你不知道的隐藏内容的唯一方法 - SF 上已经有一篇很棒的帖子我该如何处理受到感染的服务器?这给出了一些非常好的建议。
答案2
您应该做的第一件事是更改密码,并检查新创建的帐户。从技术上讲,您应该将整个系统视为已入侵,直到您进行完全清除并重新安装。入侵后,即使备份也是有风险的,因为您可能会备份受污染的文件,但这始终是一种权衡。
您自己托管网站吗?如果不是,最好的方法是通知您的托管提供商。希望他们有活动日志,或者可以访问您的活动日志。他们也是解决您的权限问题的最佳人选。
如果是的话,您的日志通常位于 /var/log/ 之类的地方,具体取决于您在服务器上运行的内容,不同的服务可能会受到损害。/var/log/auth.log 是一个很好的起点。
您提到删除文件夹。删除信息并不是查明发生了什么的最佳方法,因为遗留的文件中可能存在线索。您当然应该移动它们,因为您的服务器目前可能被用于邪恶目的。