разрешение страницы входа подозрительно изменилось [дубликат]
На этот вопрос уже есть ответ здесь:
- Как мне поступить с взломанным сервером? 13 ответов
Я разработал веб-сайт с сервером php и apache на linux centos Я не профессионал в вопросах безопасности и думаю, что некоторые люди пытаются взломать мой веб-сайт сначала посоветуйте мне, какие меры безопасности мне следует соблюдать
, но мой проблема:
сегодня вечером, когда я пытался войти в систему, firebug показал, что он пытается загрузить login.php несколько раз, но возникает ошибка файла (я думаю, постоянное перемещение или что-то в этом роде ....)
в любом случае, когда Я проверил файл login.php в Linux. Я заметил, что права доступа к файлу были изменены, и все флаги x (выполнение) были удалены.
неужели это работа хакера? что мне делать, чтобы этого не произошло.
Я изменил chown на root, а также установил chmod для всех файлов с 775 на 755 , пожалуйста, дайте больше
Загрузка с установочного LiveCD CentOS. Определите место установки жесткого диска или $ ROOT, и если он уже установлен. Передайте $ ROOT следующей команде.
`rpm --root $ROOT --query --verify --all`
, который совпадает с
`rpm --root $ROOT -qva`
, проверяет все пакеты, установленные через yum / rpm. Если бинарный файл, скажем, httpd, отличается от установленного, значит, у кого-то есть root. Загвоздка в том, что rpm verify не проверяет ничего, установленного вне rpm / yum. Поэтому, если вы загрузите модуль и установите его вручную или сценарий cgi не установлен через rpm, он не найдет изменений в этих файлах. Даже если вы установили только через rpm, и он обнаружил, что все в порядке, это не приведет к компромиссу из-за неправильного использования.
Примеры неправильного использования:
- отправить пароль по http вместо https.
- Не выбирайте надежный пароль для ssh.
- Используйте учетные данные для входа на ftp вместо sftp.
В такой ситуации первое, что я бы сделал, - это проверил файлы журнала Apache. Должны быть файл access_log , а также файл (ы) error_log . Это должно дать вам представление о возможном источнике и о том, что было сделано, если что-либо.
Журналы обычно находятся в:
/ etc / httpd / log /
Второе, что я бы сделал, если вы думаете, что сценарий был изменен, это сравнить его на предмет различий с резервной копией (которая, как вы знаете, безопасна и не подвергалась подделке).