Вопросы Теги

Какие варианты действий у меня есть, если мой Linux-сервер скомпрометирован? [дубликат]

Возможный дубликат:
Мой сервер был взломан АВАРИЙНАЯ СИТУАЦИЯ

Я установил все меры безопасности и инструменты мониторинга журналов . Но я не знаю, что делать, если обнаружил, что в моей системе есть руткит.

Если в моей системе работают действующие сайты, и я также не могу выключить сервер. Как я могу удалить инфекцию

Что касается резервных копий, следует ли мне делать резервные копии всей системы Linux или только каталога и базы данных public_html. потому что в настоящее время я создаю резервные копии только этих папок.

У меня есть VPS, и моя хостинговая компания делает ежедневные снимки, но как быть другим способом обезопасить себя, чтобы в случае заражения руткитом я мог его восстановить.

-1
задан 13 April 2017 в 15:14
3 ответа

Если Ваш веб-сервер имеет вирус, единственная безопасная вещь сделать уничтожить в из космоса. Правильно, поместите его на следующую миссию шаттла и удостоверьтесь, что это выбросило за борт достаточно далеко далеко от земли, что мы все не становимся заброшенными в EMP или осадках, и нажимаем красную кнопку, которая заставляет его взорваться.

Если это невыполнимо, слишком дорого, или Вы, в Вашем локальном торговом центре закончились ядерные бомбы, то единственный другой способ удостовериться любой вирус ушел, должен отформатировать сервер. Ваш поставщик услуг хостинга может помогать Вам с этим путем установки 2-го VPS и предоставления Вам приблизительно одного месяца для перемещения всего прежде, чем закрыть и удалить текущий экземпляр. Конечно, если Вы просто переместите все без разбора от старого VPS до нового VPS затем, то Вы, вероятно, принесете вирус с Вами.

Если у Вас есть данные о клиентах по там и существует риск, Вы пропускаете те данные или принятие участия в ботнете, или бэкдор оставили в системе, то у Вас есть обязательство перед Вашими клиентами сделать все, что в Вашей власти, и просто сканирующий/удаляющий любой известный вирус не действительно достаточно, потому что Вы просто никогда не знаете то, что они оставили позади.

Относительно резервных копий я сказал бы, что Вы делаете правильную вещь, потому что Вы не должны иметь, выполняют полномочия на чем-либо public_html папка и база данных вряд ли будут питать что-либо злонамеренное.

5
ответ дан 5 December 2019 в 19:00
  • 1
    Хороший ответ - кроме бита о 'вирусе' - да там является вредоносным программным обеспечением в системах Unix - но никакой вирус в дикой природе начиная с червя Morris. –  symcbean 8 October 2010 в 15:10
  • 2
    @Master: наиболее распространенной причиной системных проникновений является небезопасный код CGI. После того как взломщик находит целое, они обычно устанавливают далее backdoros для получения доступа - так путем восстановления веб-сайта, в котором Вы могли восстанавливать маршрут поставить под угрозу систему. –  symcbean 8 October 2010 в 15:13
  • 3
    @symcbean, затем что является лучшим способом восстановить bckups., как найти, что websitecode поставлен под угрозу, я имею в виду, какие вещи посмотреть foror, как просканировать тот –   8 October 2010 в 16:19
  • 4
    @master: то, что говорит symcbean, - то, что у Вас, скорее всего, есть дыра в Вашем веб-коде: будьте этим cgi, php, жемчуг или некоторый связанный пакет, такой как phpmyadmin, mysql, или другие популярные панели/программные инструменты управления. в то время как восстановление Ваших данных на чистую систему является хорошей вещью, необходимо искать дыры в коде, что взломщик раньше, возможно, получал доступ к системе во-первых, или это просто произойдет снова и снова. существуют другие способы для взломщиков получить доступ: неверные пароли, простой ftp, unpached программное обеспечение (апач, mysql, phpmyadmin, панели управления, drupal, Wordpress, и т.д.). –  Cypher 8 October 2010 в 21:00

Я предложил бы, чтобы Вы сохранили резервные копии просто своих данных: Ваши файлы сайта и Ваши данные базы данных. Сохраните те резервные копии от системы. Если Вы заражены, или сервер поставлен под угрозу, у Вас может быть свой хост, "инициализируют" сервер (сброс к исходному состоянию), Вы копируете свои данные, и Вы назад онлайн с чистым сервером.

Я также предлагаю, чтобы Вы развернули свою систему и узнали, как Вы заражались/ставились под угрозу во-первых и меры по реализации для предотвращения этого снова.

1
ответ дан 5 December 2019 в 19:00

Резервные копии, резервные копии, резервные копии. К сожалению, нет никакого способа быть уверенным, что без помощи руткита обходятся, форматируя и восстанавливая от резервного копирования. Я сохранил бы резервные копии каталогов данных каждого из Ваших сервисов (веб-сервер, таким образом, /home/*/public_html и /var/www; MySQL, вероятно /var/lib/mysql, читайте на каждом сервисе, который Вы используете для нахождения, где файлы хранятся) и резервное копирование конфигурации (/etc), и любые локальные изменения Вы сделали к системе и корневым каталогам (/home/*, /usr/local/*) в абсолютном минимуме.

Для дальнейшей разработки потенциальные руткиты, после того как они получают корень priviledges, для них возможно замаскировать каждый знак, что они существуют в зараженной системе.

1
ответ дан 5 December 2019 в 19:00
  • 1
    1: как прокомментировано в другом месте, большинство систем поставлено под угрозу плохим кодом веб-сайта. Наличие плохого кода веб-сайта ленты, готовой устанавливать сверху чистой машины, является очень временным приспособлением. Обычно руткиты установлены после того, как система была поставлена под угрозу. –  symcbean 8 October 2010 в 15:15

Теги

Похожие вопросы