我工作的公司在VPS上运行一系列电子商务商店。 这是一个WAMP堆栈,50GB存储。
我们使用一个古老的电子商务软件,几乎完全在客户端运行。 当一个订单被采取时,它将其写入磁盘,然后我们安排一个任务,每10分钟下载一次订单。
几天前,我们用完了磁盘空间,导致命令写入失败。 我很快跳到从邮件服务器删除一些旧的日志,并快速释放了几GB,但我想知道如何填补50GB将只是日志。
原来,我们没有。 隐藏在c:\System Volume Information目录的深处,我们有一堆盗版video,这些video在过去三周似乎已经出现(查看时间戳)。 色情,美式体育,澳大利亚烹饪节目。 一个非常奇怪的集合。 看起来不像个人的个人品味 – 更像VPS被用作mule子。
我们有5次尝试,并且在我们的FTP服务器上被阻止了策略(另外,没有可以访问该目录的FTP帐户),而且windows用户帐户最近更改了密码。 主要的途径是密封的 – 日志可以validation。 我想我会看看是否再次发生,是的,另一个烹饪节目今天早上出现了。
我是唯一一个知道我公司的这个问题的人,只有一个能够使用VPS(另一个是我的老板,但不是 – 不是他)。
那么这是怎么发生的?
VPS上的某些软件是否存在漏洞? VPS所有者是否在我们的租用空间上贩卖软件? (他们可以这样做吗?)
如果被视为对这个外力的敌对行为,我不想删除这个商品,他们select报复。
我该怎么办? 我如何解决这个问题? 这是否曾发生过其他人?
没有审计代码(你使用自定义商店软件?),你不知道是否有一个被利用的错误(即使你没有发现任何不意味着它不存在)。 例如,您是否使用自定义SQL代码? 有理智的检查和清理input?
我假设你所有的系统都是最新的? 恶意软件检查? 防病毒最新?
一旦有人破坏了系统,他们可能已经对它进行了修复。 无论您如何更改密码或更改密码,如果系统中的某些内容已更改为允许后门访问,则无法保留密码。 最重要的是,它可以logging你的密码更改和击键,所以你只是给攻击者提供更多的密码。
你可以进行审计,看看连接是从哪里来的,但是我怀疑这会帮助heckuva很多。
最后,你需要考虑擦拭,并从头开始重新安装。 这是再次信任安装的唯一方法,并且知道它是从木马代码中清除干净的,因为感染一旦被控制就会掩盖自己。
Scarier,如果你正在使用信用卡,这个信息可能会被刷掉,你需要刷掉客户身份。 如果你在美国,这有分歧,你需要通知客户可能的身份盗用。
如果这是处理任何涉及金钱的服务器,则可能需要考虑在承包商中调用以审计系统。 取出系统的图像进行取证,然后擦拭并重新安装。 你等待的时间越长,你承担的责任就越多。
要回答这种情况,如果服务器是一个专用的服务器,它可能会破解你的店面(例如SQL注入)的漏洞在Windows中的漏洞没有补丁任何网页浏览与该系统? “通过”下载从一个网站。 运行不是来自系统的软件? 可能已经感染了一些东西。 弱密码。 审计他们永远? 而且有可能你不会轻易知道他们是如何做到的。 我的赌注是店面软件,特别是如果它是利基的,因为开发人员很容易不清除URL的input并打开注入攻击。 或者,如果它使用PHP打开外部接口; 你保持最新? 你不会提到它是否使用了类似于php的pipe理界面,但是马虎的php编码也可以添加一个简单的攻击vector。
如果你完全丧失了如何对抗这个问题,那么请认真聘请外部帮助。 根本的经验是,一旦遭到黑客入侵,就无法确定它是否是固定的,如果客户数据在该系统上stream动,就会让自己承担责任,损害无辜的客户。 此外,如果该系统没有从networking上的其他系统中分离出来,则可以尝试拦截其他系统的数据。
首先,我想你会发现至less有三个人可以使用VPS,而不仅仅是你知道的两个人。 我相信这个系统已经被黑客入侵了。 我也怀疑它现在托pipeP2Pnetworking的文件,最有可能是种子。 您可以search* .torrent文件,但它们可能隐藏在您的视图中。
你不再控制系统。 他们只是给你带来了幻想。 如果他们不小心把所有的磁盘空间都用完了,那么他们可能会花费更长的时间。 顺便说一下,即使是一个基本的监控系统也应该提醒你减less磁盘空间。
在这一点上,你需要采取巴特的build议,并以系统快照的forms收集取证证据。 然后彻底擦拭,重新安装。 在这一点上你的备份可能是毫无价值的,因为你没有真正的方法知道黑客何时发生。
你需要看看可以做些什么来更好地保护你最近重build的系统。 对于这个问题,我会考虑在一个新主机上重build它,并继续使用现有的主机,直到准备好,然后做一个切换。