我已经inheritance了一个受到威胁的Web服务器。 试图找出为什么Apache挂起和高服务器负载的原因,我发现perlbot 4.5 / tmp的几个副本。 我现在想弄清楚他们是如何进入机器的,所以我可以closures这个孔。 我一直在寻找各种扫描仪,nessus似乎不错,我在机器上和一个网站托pipe扫描。 但是有几百个网站,任何人都知道所有这些网站的内容,而且我是新来的,所以我真的不知道他们会做什么。 正在扫描每个网站的最佳select?
你会如何检查同一台机器上的这么多网站的问题?
编辑添加:我们正在擦拭一切,从后备恢复。 这是好的,但仍然让我们打开原来的漏洞。 用Nessus或Metasploit一次一个地扫描每个站点,试图弄清楚这个漏洞是什么?
编辑2:这是phpmyadmin。 即使这是我一旦注意到我们正在运行它就会升级的东西,但是我特别通过apache日志来发现问题。 nessus和metaspolit是整齐,但没有帮助。 (我可能不知道如何充分利用它们,我只是运行基本的自动扫描)。
find / -mtime -1 用你认为发生入侵的天数replace-1。 通过查找被修改的文件,您很有可能找出哪个网站被用来进入。例如,在图像文件夹中查找上传的后门脚本和这种性质的东西。
备份网站,重build服务器,然后只加回你知道需要的文件,这就是你所期望的。
这实际上比尝试清理受损系统的工作要less。
如果您在寻找隐患方面死心塌地,请修补服务器,然后运行metasploit。 我也看着netstat,看看有什么连接。 我也会禁用不属于那里的任何帐户。 检查什么是开机启动奇怪。 名单继续…
http://sectools.org/有他们的顶级125安全工具的列表,你可以过滤一些。 这可能会给你一些帮助select一个工具,但为此,你将不得不做自己的研究。
最后一次我需要使用metasploit或nessus是几年前,所以我不记得使用它们的具体细节了。
鉴于您已经决定重build服务器,作为验尸后您可以执行以下操作;
进行只读图像的坏机器和安全地存储
在违规服务器上创build文件系统的副本。 要做到这一点,你需要有足够的空间另一个驱动器或安装的体积; 看看dd工具。 你如何使用它将取决于你是否有一个单一的大根“/”分区,或许多/ var / usr和/ lib文件系统等
在安全的沙箱环境中进行取证
将文件系统的违规图像的副本移到安全位置,例如VirtualBox中的guest虚拟机。 特别准备沙盒虚拟主机。 安装工具,如sleuthkit,最重要的,clamav,验尸。
以安全和明智的方式进行验尸
不要让沙箱访问互联网或本地驱动器。 过程结束后,删除沙盒客人。 做笔记,文件更改。
首先要做的是把所有的网站离线。 如果您的网站遭到入侵,则可能被用来托pipe恶意文件和/或发送垃圾邮件。
第二件事是提醒任何交易银行服务的任何网站使用。
第三件事是提醒你的用户群。 这三个步骤可以在一个小时内完成,如果你还没有这样做,没有任何借口。