我有3个服务器作为代理负载平衡。 有人已经获得了他们的访问,并以某种方式创buildindex.html在我的webroot包含广告和我的主要index.php文件的iframe。
我不确定他们是怎么做到这一点的,因为即使我在整个服务器上删除了index.html文件,我可以在半天后返回,看看它已经完成了。
我注意到在服务器上有一个web shell脚本,并将其删除。 我也改变了sshd_config,以便只有一个用户能够login,所有其他帐户不能。 不知何故,他们仍在访问服务器并进行这些更改。 历史不显示任何东西。
我需要尽快解决这个问题。
任何人都可以提出build议吗?
谢谢!
攻击者很可能已经创build了某种forms的后门来重新获得您的系统。 您的服务器可以通过哪些方式访问? SSH将是最明显的方式,所以检查访问日志的东西看起来很奇怪。 检查是否有任何帐户已经创build。 同时检查所有用户的crontabs,以防万一有什么东西在运行,为攻击者重新打开大门。 任何初始化脚本或启动过程也可能包含有害的东西。
有很多更好的build议要检查的链接和可能重复的评论张贴。 如果找不到任何痕迹或解释,一种可能性就是攻击者已经获得了root权限,并且能够以更有效的方式覆盖他们的踪迹。
在一天结束的时候,虽然你可以也应该试着弄清楚你的服务器是如何被攻破的(如果你有通过SSH访问SSH的密码并且可以通过互联网访问,那么暴力破解密码是一个公平的猜测)再难100%肯定他们是干净的。 因此,我个人的目标是尽快更换受影响的系统,通过从远处恢复备份,或者从零开始重新configuration服务器。