昨日、自分のサイトがハッキングされていることに気づきました。この時点で、いくつかのことについて本当に混乱しています。編集または追加されたすべてのファイル(私が知る限り)は、特定のユーザーアカウントを使用して行われました。使用されなくなったソフトウェアに関連付けられていたため、削除する必要がありましたが、削除されませんでした。
私はそれらのファイルをすべて削除しました(1つを除く*)。ユーザーアカウントを削除し、編集したファイルを修復しました。ほとんどすべての編集はサイトのwordpress側にありました。サイトはワードプレスではありませんが、同じ物理サーバー上にあります。すべての編集と追加は、削除されたユーザーが所有するディレクトリまたはwww-dataが所有するディレクトリにありました。
*削除しなかったファイル(名前を変更して移動したファイル)は、ハッカーが使用したツールの1つでした...上部に「WebShell by oRb」がありますが、それについてお話しできるのはこれだけです。 。
これは私の最初の懸念につながります(私は過度に冗長であることを知っています、申し訳ありません)-このツールを使用すると、www-dataが所有する任意のディレクトリでファイルを編集または作成でき、すべてのファイルのほぼすべてのファイルを読み取ることができますマシン上のディレクトリ。だから私の質問は、このツールはすでにサーバー上にあるので、これを行うことができるだけですか?それとも私はただ大きく開いていますか?
私の2番目の質問は、Webサーバーに最適なアクセス許可は何ですか?私はこれが何百万回も尋ねられたことを知っています。サーバーの私の側はすべて、所有者として私のアカウントを持ち、グループとして私のグループ(私だけの)を持っています。 wordpress(私は非常に警戒している)側はすべてwww-dataによって所有されています。これは適切ですか?rwxパーミッションはどうあるべきですか?
私は誰もが大きな懸念を診断することを本当に期待していません-彼らが最初にどのように乗り込んだか-しかし、2番目と主に最初の質問の明確さは本当にありがたいです!
ありがとう!
wordpress側はすべてwww-dataが所有しています。これは適切ですか?
一般的には適切ではありません。 wordpressには、www-dataが書き込むことができるデータディレクトリが必要ですが、ほとんどの場合、www-dataはファイルやフォルダを所有するべきではありません。www-dataが所有するものはすべて可能です。バギーPHPコード(または他のサーバー側の技術)がある場合、攻撃者はそのバギーPHP =攻撃者がリモートサーバーからファイルをリンクダウンロードしてシステムのどこかにインストールしたいことを行うために、PHPスクリプトの1つを更新するコード。
一部のWebアプリは、ファイルシステムにデータを書き込む必要があります。非常にまれな例外を除いて、これらのデータディレクトリからのスクリプトの実行を許可することはほとんどありません。