清理被攻击的Ubuntu服务器

Question

他们黑了我的VPS并更改了根密码。幸运的是，我的提供商已经为我重置了它，现在我又有了控制权。

现在，我想确保他们没有安装我不知道的任何东西或服务(例如，为了非法下载/上传等)。

是否有任何工具或实践来确保我的服务器是干净的？我想避免重新安装它从零。

Answer 1

不，也不像重新安装那么简单。

无论如何，花些时间弄清楚入口点是什么，但是现在这个安装是危险的垃圾。你必须考虑以下可能性：

• 被盗数据:他们现在是否有可用服务的密码(如网络应用程序)？您可能需要重置整吨密码，而且(重要的)如果您持有个人数据和/或登录凭据，请通知他们。
• 文件访问:仅重新安装和复制文件是不够的。你需要确保你的文件是你的文件。一种非常常见的黑客攻击是将代码注入到网络文件中(为黑客做广告并感染僵尸网络的访问者)。您只是不能信任来自服务器的数据。这就是为什么我们使用不允许生产服务器写入的版本控制，不是吗？
• 还发生了什么？添加用户，更改组，添加服务，污染服务(就像“温迪戈行动”).你只是不知道这台服务器发生了什么。你可以从取证上把它拆开，但这可能会让它受到进一步的攻击，这将花费你数周的时间。

简而言之，您需要构建一个新的服务器，您需要恢复您的文件的安全副本，并且需要检查和检查任何数据库数据，以确保它们没有掉在额外的访问路由中。哦，你需要通知用户和你持有数据的人。

在阅读了您对这个问题的评论和迄今为止的经验之后，很有必要聘请具有经验的人员来设置和处理服务器的下一个发展过程。这些都是你可以学到的东西，但也是你需要维护的东西。

对服务器采用火灾和遗忘的方法是极其危险的。