最近,我公司的内部网站被破坏了,它是 VPS 上的自托管网站吗?我怀疑这与我们使用的过时的程序有关(例如 php-5.5.9 和 apache 2.4),而且它是在 Ubuntu 14.04 上运行的。
奇怪的是,它没有出现在主页上,而是在我尝试提交表单时出现了污损页面。我已经检查过了,fail2ban似乎ufw没有任何奇怪的活动。
解决这个问题的最佳方法是什么?有没有我可以使用的网站漏洞扫描器?
答案1
我会首先查看日志文件中的可疑行为,以便为我指明正确的方向,同时也会查看所有权,但更重要的是查看修改文件上的日期戳作为指导。
问题不太可能出在 php 或 Apache 上,但最有可能是代码注入或与服务器上运行的代码相关的一些妥协。如果您使用的是 Ubuntu 14.04 和不受支持的 Apache 和 PHP 版本,那么您很可能也在运行未打补丁的易受攻击的 php 代码 -如果存在漏洞的代码与处理表单的代码有关,那么我不会感到惊讶。
Fail2Ban 不会记录黑客行为,它会寻找不良行为并进行阻止 - 通常是已知路径上的暴力行为。