linux – 如何在网站遭到黑客攻击后分析日志
|
我们的一个网络项目被黑了. Malefactor改变了项目中的一些模板文件和web框架的1个核心文件(它是着名的php框架之一).
我们通过git找到了所有损坏的文件并将它们还原.所以现在我需要找到弱点. 很可能我们可以说,这不是ftp或ssh密码绑定.托管提供商的支持专家(在日志分析之后)说这是我们代码中的安全漏洞. 我的问题: 1)我应该使用哪些工具来查看Apache的访问和错误日??志? (我们的服务器发行版是Debian). 2)你能在日志中写下可疑线路检测的提示吗?也许是一些有用的regexp或技术的教程或引子? 3)如何在日志中将“正常用户行为”与可疑行为分开. 4)有没有办法防止Apache的攻击? 谢谢你的帮助. 解决方法
像HopelessNOOb一样,我建议得到一些专业的帮助.
当您知道系统已被泄露时,您不能依赖存储在其上的任何数据.此外,如果妥协是通过HTTP进行的,那么标准日志中可能没有足够的信息来隔离所有的信息.这就是为什么认真对待Web服务器安全性的人会使用类似mod_security的东西来获取更详细的日志,并运行基于主机的IDS来检测妥协.
如果他/她能够提出这样的要求,那么他/她必须已经知道你的问题的答案 – 要么没有证据,要么声称没有证据,他们真的是说他们找不到他们的东西有什么问题. 您的目标应该是让您的网站恢复在线并确保安全.为了使网站安全,您需要插入每个洞 – 但要破坏网站,您只需要找到一个洞:您知道您的网站至少有一个洞,但您需要修复任何存在的洞 – 这意味着您需要对您的网站安全采取非常不同的方法.甚至你们也可以识别并修复这次被利用的漏洞,证据表明你没有适当的流程和技能来确信这是一个孤立的事件. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |