我的服务器运行不稳定。在调查服务器是否遭到黑客攻击的同时,我也在考虑备份选项:
正如许多帖子所说,真正了解自己是否干净的唯一方法是擦拭并重新开始。
重置服务器后,我想从备份中恢复网站。
问题是我不知道它是什么时候被破解的(虽然我可以猜测)。
如果我从破解的服务器恢复数据库,那么数据库本身是否有可能以某种方式受到损害,或者假设我更改了所有密码等,我可以从该数据库恢复吗?
我的理解是人们试图从数据库中窃取信息而不是利用数据库本身作为漏洞,但我真的不知道。
(在这种情况下,我认为服务器已被劫持以发送垃圾邮件,并且数据库、小型网站、 5 个用户等中实际上没有太多价值。)
答案1
使用已知的、良好的备份
我认为您没有安全事件发生之前某个时间点的现有备份?
如果您这样做,您可能希望恢复这些数据并可能查看从那时起添加了哪些数据,如果向数据库添加了大量记录,这可能并不是一件容易的事。
使用当前服务器的数据
如果您计划使用受感染服务器的数据,那么它不应该被信任。
将数据转储到另一个系统。更改 mysql 密码以及应用程序存储在数据库中的任何密码。
完成后,您可以将其重新导入到已知良好的服务器。
如果您的数据库存储 HTML 代码或类似数据,您可能需要使用恶意软件工具扫描 SQL 转储文件以查找已知的注入代码。这并非 100% 可靠,但我能够使用 maldet 和 clamav 等工具以这种方式发现 SQL 注入。