我有 3 台服务器用作代理负载平衡。有人获得了这些服务器的访问权限,并以某种方式在我的 webroot 中创建了一个包含广告的 index.html 以及我主 index.php 文件中的 iframe。
我不知道他们是怎么做到这一点的,因为即使我删除了整个服务器上的 index.html 文件,半天后我也可以回来看到它已经再次完成。
我注意到服务器上有一个 Web Shell 脚本,然后删除了它。我还更改了 sshd_config,以便只有一个用户可以登录,而所有其他帐户都不能登录。不知何故,他们仍在访问服务器并进行这些更改。历史记录没有显示任何内容。
我需要尽快解决这个问题。
有人可以提出建议吗?
谢谢!
答案1
攻击者很可能已经创建了某种形式的后门来重新获得对您系统的访问权限。可以通过哪些方式访问您的服务器?SSH 是最明显的方式,因此请检查访问日志中是否有任何看起来奇怪的内容。检查是否已创建任何帐户。还要检查所有用户的 crontab,以防正在运行的某些程序重新为攻击者打开了大门。任何 init 脚本或启动过程也可能包含有害内容。
在链接和可能重复的评论中,还有更多关于需要检查的事情的好建议。如果你找不到任何踪迹或解释,那么一种可能性是攻击者已经获得了 root 访问权限,并且能够以更有效的方式掩盖他们的踪迹。
归根结底,虽然你可以而且应该尝试找出你的服务器是如何被入侵的(如果你启用了 SSH 密码访问,并且可以通过互联网访问,那么暴力破解密码是一个合理的猜测),但可能很难 100% 确定它们是干净的。因此,我个人的目标是尽快更换受影响的系统,要么从足够远的时间段恢复备份,要么从头开始重新配置服务器。