我正在处理一个有问题的 LAMP 服务器,它运行 Apache 2.2、MySQL 5.1 和 PHP 5.2.7(以 nobody 身份运行),并且它的大多数站点都使用已知脚本(如 Joomla、Wordpress 等)的易受攻击的版本。
这是一种相当愚蠢的方法 - 这不是我能控制的 - 但由于网站的核心经过大量定制,将其脚本更新到最新版本对客户来说不是一个解决方案,但我不能永远保持这种搜索和摧毁任务。所以,我希望找到一种方法来跟踪新创建的文件及其来源,例如由 xyz.php 创建的 abc.php
我确信第一个是可能的,但不确定第二个是否可行。
如果您能就此事分享您的想法那就太好了。
PS:由于有数百个站点,更改配置非常困难。虽然这是正确的解决方案,但遗憾的是这不是我想要的解决方案。
答案1
暴风雪中,前门敞开,您只能用镊子清除积雪。
当你无法真正保护系统时,清理真的没有什么意义。这完全是在浪费你的时间和精力。
文件完整性监控工具可以告诉您发生了什么变化,但除非您解决实际的安全漏洞,否则恶意文件会在您删除它们后立即回到原位。
与其进行这种毫无意义的斗争,不如采用更好的安全机制。如果无法更新代码,那么就使用类似 Web 应用程序防火墙的方法来确保 HTTP 请求的安全。然后再努力更新代码。
但是,不要只是安装一个文件完整性监控工具,然后在每次发出警报时进行清理 - 这些工具旨在确保您没有安全漏洞,而不是向您展示今天的漏洞有多严重。 你知道这个系统已经被破解了- 首先,让它处于不存在的状态。