我们的服务器托pipe一个网站,但是我们发现我们的数据库中添加了一些表,所以我们怀疑服务器是否被黑客入侵?
我如何确认并解决?
最简单的第一步是使用rootkit查找应用程序,而不是说你正在使用哪个操作系统,但是在Linux上这将是chkrootkit或rkhunter。 这些应该告诉你,如果你的任何二进制文件已被更改为恶意版本。
一般来说,不要使用系统本身的任何二进制文件来查找黑客行为,就好像它们是恶意的,它们可能会排除你正在寻找的输出。
接下来,像取消隐藏这样的工具可以帮助您find隐藏的进程和TCP / UDP端口。
之后,我会用openVAS做一个漏洞扫描,找出系统中有什么漏洞。
你做什么取决于你的发现,但总之如果你发现任何可疑的东西,核弹它,重新安装是我的首选。 否则,你正在为他们的条件而战。
如果您确实怀疑服务器被黑客入侵,那么您最好设置一个新的服务器,确保其虚拟主机的强化,从备份中恢复您的数据,并用此replace现有的服务器。
知道你的服务器是否真的被黑客入侵可能需要一些时间,在这期间,你绝对想让服务器脱机,并与networking的其他部分隔离。
你说这是一些额外的数据库表的存在,让你认为服务器已被黑客入侵。 这些表涉及什么? 网页内容? 我猜你正在使用IIS(版本?)和一些数据库。 除非你提供更具体的细节,否则你不会得到更多的帮助。
你是从你的网站编码和解码你的input? 你使用存储过程等?
确保他们不要通过提供的用户界面“侵入”您的系统。
查看创build/修改表的时间戳记,然后在Web日志中查找类似的条目和IP。即基本交叉检查。 如果有相应的条目,则尝试确定哪些条目是合法条目,哪些条目可能是攻击者的configuration文件。 如果没有相应的条目,那么它们可能已被清理,或者网站界面不参与攻击。 即服务器被否决了。
然后自动化你做的任何检查,并定期检查你的系统。