我知道这个问题可能会重复,但这就是发生的事情。
我们的网络服务器受到了攻击,原因是将垃圾链接注入服务器脚本文件(运行 Coldfusion9/.cfm/Window/IIS 的 Web 服务器)。
第一次攻击后,我们仅阻止了对我们办公室 IP 地址的 FTP 访问,并更改了 FTP 密码。
然而,几天后攻击仍在继续。黑客可能通过其他渠道进入,但我想确保我们在开发人员机器上运行 Ubuntu 时已针对 Ubuntu 安全性采取了最佳实践。(通过 Eclipse 远程文件系统和 FileZilla 连接到 FTP - 未安装 Wine)
黑客有可能在计算机运行时入侵 Ubuntu 计算机并连接到 FTP 来修改文件吗?(他们无法窃取密码并从他们的终端连接到 FTP,因为我们阻止了除我们单个办公室 IP 之外的所有外部对 Web 服务器的访问,因此如果黑客攻击通过 FTP 进行,则需要实时进行)
如果确实如此,我们可以做些什么来预防/检查这种情况?
我在我的时区凌晨 2 点醒来修复变格脚本,但我不知道什么时候会再次发生这种情况,这让我发疯。:(
非常感谢您的帮助。提前谢谢大家。
答案1
除非您弄清楚攻击者如何访问您的系统,否则没有人可以为您提供如何阻止攻击者的建议。要弄清楚攻击者如何获得访问权限,您需要从未被入侵的系统主动监控网络,使用一些软件,例如呼噜。
如果您的 Ubuntu 系统遭到黑客攻击,则需要完全重新安装,更改所有用户密码并禁用任何受信任的远程访问方法(例如 ssh 受信任密钥),然后重置所有用户帐户。否则,您将面临后门可能隐藏在操作系统、文件系统或主目录中的风险。
进行适当的入侵后清理工作可能是一项艰巨的工作。是否值得做取决于您对安全的重视程度。我知道有一家公司的管理层决定不投入任何资源来调查成功的黑客攻击,即使他们不知道黑客是如何入侵的,也不知道他们对网络的入侵程度有多深。事实上,许多公司最终都陷入了这种情况。