web-dev-qa-db-ja.com

ハッキング災害後のレシピが必要

ハッキングされたLinuxApache CentOS pleskサーバーを継承しました。このサーバーには、本番環境にあるWebサイトがあります。

攻撃は明らかに広範囲に及んでおり、何が侵害されているのかを検出するのは難しいため、友人から最初から再構築するようにアドバイスされました。

私はサーバーを再構築したことがなく、そもそもサーバーを設定していなかったので、再構築を実現してすべてを正常に復元する方法に関するレシピまたは簡単なチェックリストがあるかどうかを尋ねています。 ?

2
Daniel Higgins

この段階での通常の応答は、「それを削除し、再フォーマットして、バックアップから復元する」です。

tonsここまたはグーグルで関連する質問があります。少し検索してみてください。

編集:ああ、それが修正されるまでネットワークから離しておいてください。 :)

7
Sirex

そのアドバイスは正しいです。誰かが入ると、彼らは頻繁に複数の自己再現型バックドアやその他のグッズを作成します。最初からやり直す以外に、それらをすべて取り除いたことを確認する方法はありません。私は以前にそれを経験しました、そしてそれは面白くありません。

chkconfig --listは、実行中のサービスを表示します。 およびおそらく5 を調べて、サーバー上で実行されている他に重要なものがあるかどうかを確認する必要があります。デフォルトで実行されているサービスはたくさんありますが、実際には心配する必要はありません。重要なものについては、参照用に構成ファイルのコピーを保持しますが、新しいサーバーにはコピーしないでください。多分それらを印刷することは行く方法です。設定が有害なものに変更されていないことを確認するために、設定を確認して理解する必要がありますが、少なくとも、何をする必要があるかについての出発点があります。

データファイル(Webページ)については、ハッキングされたサーバーからコピーするのではなく、別のサーバー上のバックアップまたはソースリポジトリから取得できることを願っています。それらをコピーする必要がある場合は、ウイルス対策ソフトウェアでスキャンしてみてから、異常なものを探して、最高のものを期待してください。

3
Brad Mace

次回サーバーをセットアップするのに役立つように、自動インストールソフトウェアも確認する必要があります。

重要なことは、バックアップからデータを復元するまで、そしてサーバーをネットに戻す前に、人間の手が触れずに完全にインストールしてセットアップする必要があるということです。

これは、ハードウェア障害やこのようなハッキングインシデントなどのさまざまな災害の後にサーバーを復元するときに、あなたと将来の管理者を支援します。また、サーバーのソフトウェアと構成に関する最新のドキュメントとしても機能します。

0
Anders