更新 II:老实说,我不明白我的问题为何不适合这个网站,似乎没有人愿意对此给出合理的答复,但无论如何,我解决了这个问题。感谢那些真正阅读并提供帮助的人(而不是试图强制执行看似武断的“规则”,规定什么应该或不应该在这里发布)。
更新:尽管这被标记为重复,但这个问题试图弄清楚在这种情况下网站是如何受到损害的,而不是询问如何保护服务器的一般性问题。
Dreamhost 最近提醒我,我的一些网站目录已被入侵,其中写入了 3 个字母的 php 文件。解码后,我发现它们是运行时会发送垃圾邮件的文件。当我开始研究问题时,我注意到一些非常奇怪的事情,这让我怀疑如果服务器本身(与不知道有多少其他网站共享空间)没有在根级别被黑客入侵,我怎么会被黑客入侵。
以下是一些细节和奇怪之处:
- 在 50 多个目录中,只有 6 个目录写入了这些文件。
- 其中 4 个目录包含 WordPress,但目前只有其中 3 个正在提供服务。
- 其他 2 个目录大部分是静态 html,根本没有数据库访问,只有少量 javascript。
- 所有目录均无任何可公开写入的权限(777)
- 所有文件都被写入每个网站目录的顶层,我找不到更低级别的文件。
所以我很好奇这是怎么发生的,并有以下问题:
这里可能的攻击媒介是什么?由于有些目录甚至无法通过网络访问,因此网络访问似乎不太可能是攻击媒介。由于有些目录包含静态文件,因此这似乎不太可能与最近的 WordPress 漏洞之一有关。
Dreamhost 服务器是否可能遭受根服务器级别的黑客攻击,从而使攻击者能够访问所有目录和帐户?
我想我的 shell 帐户密码可能被黑客入侵了,但如果是这样,为什么只有 6 个目录被写入?(而且是随机顺序的,据我所知,它们之间还有许多其他按字母顺序排列的目录,而且它们也不是按修改或创建日期排序的)。无论如何,我已经更改了我的 shell 密码以防万一。
我不是系统管理员,更像是网页设计师和开发人员,但我想弄清楚这种情况是如何发生的,以便将来能更好地防范此类攻击。感谢您的任何建议!
答案1
如果所有文件夹都归一个系统用户所有(某种程度上暗示你有一个可以看到所有内容的 shell 帐户),并且 PHP 脚本以该用户身份运行(任何有价值的主机都会这样做),那么他们可以写入您拥有的/已启用写功能的任何目录(例如,不需要 777 - 所有者写入就足够了)。
每个不同的网站都应在其自己的系统用户下运行,以实现最大程度的分离。
至于期望或尝试推断 skiddies 背后的逻辑以及它们放置文件的位置:那样的话,就会出现疯狂。
更新
您的托管账户包含服务器上所有以一个用户账户运行的各种网站。您的 shell 登录名也是同一个账户。
当 Web 服务器执行您的 PHP 脚本(在 wordpress 等中)时,它将以该用户的身份执行。这意味着,除非您的主机进行任何非常巧妙的黑客攻击,否则在您帐户中的任何目录下运行的任何 PHP 脚本都具有与您连接到 shell 时完全相同的对您帐户中所有文件的访问权限。这包括修改网站文档根目录之外的文件(例如:在其他目录中,甚至不是“已发布”的目录)、以权限 700 写入目录、从您的配置文件中读取数据库凭据等。
所有这些意味着,这一切很可能始于一个被利用的站点,然后文件被放到该站点的目录中。
更改所有数据库密码。升级所有网站和插件(检查访问日志中是否有可疑的 POST,以查看原始入口点可能位于何处)。检查所有网站,确保数据库中没有添加新用户。
切换到每个网站都可以拥有自己的 unix 帐户的帐户/产品/主机,否则您仍然面临一个网站被利用导致所有网站被破坏/受损的风险。
更新 2
你的主机说有一个登录到 shell 的事件——大概他们明确表示这是“可疑的”,而不仅仅是任何登录到 shell(一开始他们可能会怀疑这一点 - 很少有人使用带有网络托管 IME 的 shell)。
奥卡姆剃刀原理表明,您的主机误将您的登录信息视为攻击者的登录信息,并且这仍然以 PHP 开始(或完全是)。
如果它曾是如果遭到暴力破解,您的密码一定很糟糕,或者您的主机根本没有暴力破解保护。
或者,您在受感染的机器中输入了密码,或者通过不安全的网络(实际上几乎任何东西)使用未加密的协议(例如原始 FTP)。
虽然可能性较小,但确实存在主机系统中存在漏洞,允许从控制面板等处窃取客户密码(假设密码存储在那里并可从内部看到),但我们现在应该已经听说了您的主机上有数千个网站被黑客入侵(如果存在某种服务器范围的后门/漏洞,情况也是如此)。一些攻击依赖于对主机本身的社会工程攻击(除非您托管真正有趣或重要的网站,否则这种情况不太可能发生)。