为了准备在渗透后迁移服务器,我们希望清理我们的数据并确保它不包含任何恶意攻击或安全漏洞。
为了让你明白我的意思,下面是我们要运行的testing列表(目前为止):
1)比较每个文件与恶意关键字(eval,base64,iframe,viagra等)的关键字列表2)扫描超过一个时间段的文件(以前是被黑文件的症状)3)查明任何名称过长的文件(另一个症状)
任何想法,我应该添加到这个列表?
这是一个“马后跑”的build议,但这是一个很好的理由,以保持尽可能多的数据在某种版本控制下 – 这使得它微不足道的(a)识别变化和( b)回滚到已知的好点。
如果您经常备份数据(如果数据不是太大),则可以从过去的“已知良好”点恢复数据,然后将其与活动数据进行比较; 如果您的备份相对频繁,而您的合法更改却不是这样,则这是确定哪些文件(如果有的话)作为渗透的一部分进行修改的好方法。
如果您的环境中有Windows,我将使用免费版本的Malwarebytes的反恶意软件扫描这些文件。
我build议同时运行Clamscan和Linux恶意软件检测(LMD)。 在他们之间,你应该抓住大多数普通的恶意代码。
当然,如果你的攻击者自定义编码的东西,没有任何一个手动审查每一个文件将会赶上它。