服务器 Gind.cn
  1. 服务器 Gind.cn
  3. find恶意软件的来源?
Intereting Posts
为什么我不能使用Postfix发送/接收来自AWS Ubuntu的电子邮件? Ubuntu 12.04上的networking绑定模式802.3ad和思科交换机 Netcat说'操作不允许' 如何列出MySQL服务器closures的连接? 我如何摆脱FIN_WAIT1状态的套接字? 在RAID-0升级到三星三星SSD EVO – 寻找什么types的RAID控制器? 我如何configuration对Xen上的pfSense的访问 基于浏览器的DNS故障转移使用多个Alogging 查找并用数字序列replace文本 sed:如何从path中提取最后两个(或任意数量)的目录 OpenLDAP:partial syncrepl-ed cn = config Postfix + Dovecot与MySQL后端:MD5哈希密码和CRAM-MD5validation 在Windows中,将文件从Web下载到远程服务器 使用Apache 2.4,除了内部IP外,我怎样才能拒绝所有人的访问呢? Active Directory域重新创build与迁移

find恶意软件的来源?

我有一个运行lighttpdfreebsd 6.2-RELEASE(yea,旧)机器上的1.4.19)旧版本的服务器,谷歌提醒我,它已经发现embedded在我的服务器的网页之一的恶意软件。 它恰好是我们的索引页面。 我立即删除了恶意软件,并开始查看服务器日志,了解它如何到达那里。 在正在编辑的文件的任何日志中没有任何痕迹,我注意到索引页的所有者已经被更改为www,这是lighttpd用户。 然后我得出这样的结论,那种软件版本必须存在某种可能性,并且立即升级到1.4.26。

现在恶意软件又回来了。 我已经开始用ftp,lighttpd和所有的login尝试,看看这个脚本是如何进入一些相当详细的服务器日志logging。他们有任何build议,采取其他的方法?

您的网站遭到了破坏/损坏,当发生这种情况时,重新创build所有攻击者的步骤通常是非常困难的,最好的解决scheme是重新安装受损的服务器。 另一方面,您需要执行一些取证,以便找出可能发生的事情并防止它再次发生。

以下是一些值得检查的事项:

  • 看看你的web服务器和你的ftp服务器版本是否有已知的漏洞
  • 看看你可以每个日志文件,特别是networking服务器,FTP服务器和系统。 在networking服务器日志文件中,检查post
  • 有没有运行的服务,你不需要? 他们是否可以从互联网上访问? closures他们,检查他们的日志,并检查可能的已知漏洞。
  • 运行rootkit检查程序。 他们是不是infalible,但可以引导你在正确的方向。 chkrootkit,尤其是rkhunter是工作的工具
  • 从服务器外部运行nmap,并检查是否有任何应该监听的端口。
  • 如果您有rrdtool趋势的应用程序(如Cacti,Munin或Ganglia),请查看图表并search可能的攻击时间范围。

另外,始终保持这种心态:

  • closures所有你不需要的服务
  • 备份一切你需要重build你的服务器和定期testing备份
  • 遵循最小特权原则
  • 让您的服务更新,特别是关于安全更新
  • 不要使用默认的凭据

希望这可以帮助!