我有一台運行舊版本 lighttpd 的伺服器(在 freebsd 6.2-RELEASE(是的,舊的)機器上運行 1.4.19),Google提醒我它發現我的伺服器頁面上嵌入了惡意軟體。它恰好是我們的索引頁。我立即刪除了惡意軟體,並開始查看伺服器日誌以了解它是如何到達那裡的。由於正在編輯的文件的日誌中沒有任何痕跡,我注意到索引頁面的所有者已更改為 www,即 lighttpd 使用者。然後我得出結論,該軟體版本一定存在某種可運行性,並立即升級到 1.4.26。
現在惡意軟體又回來了。我已經開始使用 ftp、lighttpd 進行一些相當詳細的伺服器日誌記錄,並且所有登入嘗試都嘗試查看此腳本是如何進入的。
答案1
您的網站遭到破壞/損壞,當發生這種情況時,通常很難重新建立所有攻擊者步驟,最好的解決方案是重新安裝受損的伺服器。另一方面,您需要進行一些取證,以找出可能發生的情況並防止其再次發生。
以下是值得檢查的事項清單:
- 查看您的 Web 伺服器和 FTP 伺服器版本是否有已知漏洞
- 盡可能查看所有日誌文件,尤其是 Web 伺服器、FTP 伺服器和系統日誌檔案。在網站伺服器日誌檔案中,檢查帖子
- 是否有任何您不需要的服務正在運作?可以透過網路存取它們嗎?現在關閉它們,檢查它們的日誌並檢查可能的已知漏洞。
- 運行 Rootkit 檢查器。它們並非絕對可靠,但可以引導您走向正確的方向。 chkrootkit,尤其是 rkhunter 是完成這項工作的工具
- 從伺服器外部運行 nmap 並檢查是否有東西在不應監聽的連接埠上監聽。
- 如果您有 rrdtool 趨勢應用程式(如 Cacti、Munin 或 Ganglia),請查看圖表並搜尋可能的攻擊時間範圍。
另外,請始終記住這一點:
- 關閉所有不需要的服務
- 備份重建伺服器所需的一切並定期測試備份
- 遵循最小權限原則
- 更新您的服務,尤其是安全性更新
- 不要使用預設憑證
希望這可以幫助!