我们的一个网络项目被黑了. Malefactor改变了项目中的一些模板文件和web框架的1个核心文件(它是着名的PHP框架之一).
我们通过git找到了所有损坏的文件并将它们还原.所以现在我需要找到弱点.
我们通过git找到了所有损坏的文件并将它们还原.所以现在我需要找到弱点.
很可能我们可以说,这不是ftp或ssh密码绑定.托管提供商的支持专家(在日志分析之后)说这是我们代码中的安全漏洞.
我的问题:
1)我应该使用哪些工具来查看Apache的访问和错误日志? (我们的服务器发行版是Debian).
2)你能在日志中写下可疑线路检测的提示吗?也许是一些有用的regexp或技术的教程或引子?
3)如何在日志中将“正常用户行为”与可疑行为分开.
4)有没有办法防止Apache的攻击?
谢谢你的帮助.
解决方法
像HopelessNOOb一样,我建议得到一些专业的帮助.
当您知道系统已被泄露时,您不能依赖存储在其上的任何数据.此外,如果妥协是通过HTTP进行的,那么标准日志中可能没有足够的信息来隔离所有的信息.这就是为什么认真对待Web服务器安全性的人会使用类似mod_security的东西来获取更详细的日志,并运行基于主机的IDS来检测妥协.
The support specialist of hosting provider (after logs analysis) said that it was the security hole in our code
如果他/她能够提出这样的要求,那么他/她必须已经知道你的问题的答案 – 要么没有证据,要么声称没有证据,他们真的是说他们找不到他们的东西有什么问题.
您的目标应该是让您的网站恢复在线并确保安全.为了使网站安全,您需要插入每个洞 – 但要破坏网站,您只需要找到一个洞:您知道您的网站至少有一个洞,但您需要修复任何存在的洞 – 这意味着您需要对您的网站安全采取非常不同的方法.甚至你们也可以识别并修复这次被利用的漏洞,证据表明你没有适当的流程和技能来确信这是一个孤立的事件.
