我昨天注意到我的网站已被黑客入侵,而且我现在对某些事情感到非常困惑。 所有的文件 – 据我所知 – 编辑或添加都是用特定的用户帐户完成的; 一个与一些不再使用的软件有关的应该被删除,但是不是。
我删除了所有这些文件(除了一个*),并删除了用户帐户,修复了编辑过的文件等。几乎所有的编辑都在网站的wordpress一侧。 大多数网站不是wordpress,但他们在同一台物理服务器上。 所有的编辑和添加都在被删除用户拥有的目录中,或者由www-data拥有。
*我没有删除的文件 – 但是我重命名并移动了它 – 是黑客使用的工具之一…它的顶部有“Web Shell by oRb”,但是我可以告诉你的。
这使我首先担心(我知道我太冗长了,对不起) – 使用这个工具,我可以在www-data所拥有的任何目录中编辑或创build文件,而且我几乎可以读取每个文件在机器上的目录。 所以我的问题是,这个工具只能做到这一点,因为它已经在服务器上了? 还是我只是开放?
我的第二个问题是,什么是最好的Web服务器的权限? 我知道这已经被问了一百万次。 服务器的所有者都有我的账户作为所有者和我的团队 – 只有我 – 作为团队。 wordpress(我变得非常警惕)的一面都是www-data。 这是否合适? rwx权限应该是什么?
我并不是真的期待任何人来诊断这个大问题 – 他们是如何进入的 – 但第二个问题,主要是第一个问题的任何澄清将非常感激!
谢谢!
WordPress的一面是所有万维网数据。 这是否合适?
一般来说这是不合适的。 诚然,wordpress确实需要www-data可以写入的数据目录,但是绝大多数情况下,www-data不应该拥有任何文件或文件夹。 万维网数据拥有的任何东西都可以通过networking服务器进行更新。 如果你有PHP代码(或任何其他服务器端技术),那么攻击者可能会欺骗PHP代码来更新其中一个PHP脚本来执行攻击者希望从远程服务器下载文件的链接并安装它在你的系统上的某处。
一些networking应用程序需要在文件系统上写入数据。 除非常罕见的例外,您几乎不应该允许从这些数据目录执行任何types的脚本。