我最近被黑了。 黑客似乎将我的服务器上的任何网站redirect到一个假的病毒网站。 所以我删除了我的所有网站文件,黑客似乎消失了。 大约一个星期后,它又回来了 – 同一个。 我从来没有删除我的数据库,但也没有上传使用它们的网站。 没有任何网站链接到数据库,是否有可能支持黑客?
如果数据库服务器设置为执行某些操作(如数据库中的过程/脚本),则数据库SERVER可以托pipe一个黑客或数据库。
事实上,任何可以执行代码并具有一些(微小的)内存空间的东西都可能导致黑客入侵。 由于postscript是一种完全图灵语言,因此有人通过postscript打印机攻击networking。
就你而言,听起来像是比数据库破解更常见的事情。 不要只是删除您的网站上的文件 – 这只是删除犯罪的证据。 就好像有人开枪的时候把朋友的尸体一扫而光,没有更多的朋友被射杀。 你要做的就是看身体,询问他们是谁,他们如何杀人,谁想杀他们,他们是怎么做的,怎样阻止他们。
你需要检查你正在使用的任何网页脚本。 了解networking安全并检查您编写的任何代码是否安全; 了解已安装的Web应用程序,并检查是否有最新版本,并且每当报告安全问题时都会发布新版本。 如果新版本不能解决问题,请删除应用程序,永远不要再安装; 找一个更好的select。
此外,请确保您的操作系统是最新的(Windows更新等),您已经安装了防病毒和最新,工作,configuration正确,安全,最新的防火墙等。
你真的find并保护自己免受攻击的原因[例如在CMS /论坛/任何其他的Web应用程序中有漏洞]?
可能黑客在你的系统上为自己留下了后门,然后在web应用程序的底层。
关于你的问题 – 是和否 – 这都取决于数据库中保存了什么样的信息。 如果你有一些脚本化的web应用程序,可以在数据库中存储可执行代码(例如插件代码),那么可以留下一些后门程序。 即使情况不是这样 – mabye你有模板存储在数据库 – 然后例如xss攻击可以重复对你,即使你恢复了一切。
增加别人已经说过的话。 数据库可以“托pipe”一个黑客,但它可能更可能是操作系统感染,而不是你的数据库。
一般来说,一旦你的主机受到感染,最好从互联网上移除服务器,从事事故调查和重build服务器,不只是删除文件,并希望你把它们全部。
我想为了让任何人准确回答你的问题,需要更多的信息。 具体来说,如果你假设你从服务器中删除了所有的网站,那么根据你的数据库的担心,第一个想到的问题是:你的数据库服务器可以通过Internet访问吗?
即在公共IP上聆听吗? 快速netstat -nuptl应该给你这个信息。
此外,只是将您的网站内容脱机并不意味着您的networking服务器不可用,也不意味着其他networking应用程序。 你需要知道你的系统在networking上暴露的一切 。
另外,正如其他人所说的,当你不知道入侵的来源时,最好的办法是从裸机上重新安装:操作系统,库,应用程序,服务等,否则你将花费宝贵的时间运行在寻找任何可能的利用。
一旦您尽可能使用最新的修补程序进行重build,而不会造成依赖性问题,那么可以去掉不需要的服务,或者在可能的情况下将它们插入到Unix套接字中,而不是TCP套接字中。 并认真考虑某种forms的IDS。 有很多可用的,但简单的是AIDE ,其工作方式与Tripwire相同 – 根据编译的数据库检查文件系统的变化。
PS:备份,备份和备份,祝你好运。
除了pQd的回答:
如果用户有足够的权限,某些数据库产品允许使用SQL函数(例如“系统”)执行任何系统命令。
你唯一的步骤就是清理你的系统,删除网站文件? 您应该更改所有密码并从已知的良好备份中恢复。
你说的就是病毒,而不是系统内部的病毒。 有可能是一个病毒被用来破解你的网站,但很可能是从外面破解。
恢复您的网站文件只消除了裂缝的结果,而不是允许它完成的安全漏洞。 这就是为什么它可能会在下周重复,这就是为什么它会继续下去,直到你修复它。
获得访问权限的两种常见方式是通过跨站点脚本(XSS)和SQL注入 。 当你不使用正确的文字编码时,两者都是可能的。
如果您没有HTML编码您写入网页的文本,则可以执行客户端脚本并收集信息,例如validation您的pipe理login的cooke值。
如果您在创buildSQL查询时未正确编码string值,则值可能会改变您的查询以返回不同的结果,或者可能包含可以更改数据库中数据的其他查询。