Возможный дубликат:
Мой сервер был взломан АВАРИЙНАЯ СИТУАЦИЯ
Я установил все меры безопасности и инструменты мониторинга журналов . Но я не знаю, что делать, если обнаружил, что в моей системе есть руткит.
Если в моей системе работают действующие сайты, и я также не могу выключить сервер. Как я могу удалить инфекцию
Что касается резервных копий, следует ли мне делать резервные копии всей системы Linux или только каталога и базы данных public_html. потому что в настоящее время я создаю резервные копии только этих папок.
У меня есть VPS, и моя хостинговая компания делает ежедневные снимки, но как быть другим способом обезопасить себя, чтобы в случае заражения руткитом я мог его восстановить.
Если Ваш веб-сервер имеет вирус, единственная безопасная вещь сделать уничтожить в из космоса. Правильно, поместите его на следующую миссию шаттла и удостоверьтесь, что это выбросило за борт достаточно далеко далеко от земли, что мы все не становимся заброшенными в EMP или осадках, и нажимаем красную кнопку, которая заставляет его взорваться.
Если это невыполнимо, слишком дорого, или Вы, в Вашем локальном торговом центре закончились ядерные бомбы, то единственный другой способ удостовериться любой вирус ушел, должен отформатировать сервер. Ваш поставщик услуг хостинга может помогать Вам с этим путем установки 2-го VPS и предоставления Вам приблизительно одного месяца для перемещения всего прежде, чем закрыть и удалить текущий экземпляр. Конечно, если Вы просто переместите все без разбора от старого VPS до нового VPS затем, то Вы, вероятно, принесете вирус с Вами.
Если у Вас есть данные о клиентах по там и существует риск, Вы пропускаете те данные или принятие участия в ботнете, или бэкдор оставили в системе, то у Вас есть обязательство перед Вашими клиентами сделать все, что в Вашей власти, и просто сканирующий/удаляющий любой известный вирус не действительно достаточно, потому что Вы просто никогда не знаете то, что они оставили позади.
Относительно резервных копий я сказал бы, что Вы делаете правильную вещь, потому что Вы не должны иметь, выполняют полномочия на чем-либо public_html
папка и база данных вряд ли будут питать что-либо злонамеренное.
Я предложил бы, чтобы Вы сохранили резервные копии просто своих данных: Ваши файлы сайта и Ваши данные базы данных. Сохраните те резервные копии от системы. Если Вы заражены, или сервер поставлен под угрозу, у Вас может быть свой хост, "инициализируют" сервер (сброс к исходному состоянию), Вы копируете свои данные, и Вы назад онлайн с чистым сервером.
Я также предлагаю, чтобы Вы развернули свою систему и узнали, как Вы заражались/ставились под угрозу во-первых и меры по реализации для предотвращения этого снова.
Резервные копии, резервные копии, резервные копии. К сожалению, нет никакого способа быть уверенным, что без помощи руткита обходятся, форматируя и восстанавливая от резервного копирования. Я сохранил бы резервные копии каталогов данных каждого из Ваших сервисов (веб-сервер, таким образом, /home/*/public_html
и /var/www
; MySQL, вероятно /var/lib/mysql
, читайте на каждом сервисе, который Вы используете для нахождения, где файлы хранятся) и резервное копирование конфигурации (/etc
), и любые локальные изменения Вы сделали к системе и корневым каталогам (/home/*
, /usr/local/*
) в абсолютном минимуме.
Для дальнейшей разработки потенциальные руткиты, после того как они получают корень priviledges, для них возможно замаскировать каждый знак, что они существуют в зараженной системе.