天网入侵后如何发现安全漏洞？

Question

几天前，一个朋友的服务器被入侵了。该攻击安装了一个新的SSH守护进程，它允许任何有效帐户进入，而不提供有效密码。登录后，每个帐户自动获得根权限，服务器响应如下：

攻击还删除了显示入侵的syslog条目(我们用syslog的日志找出了这一点)，并更改了/etc/apt/sources.list中的Debian包位置路径。

服务器在Debian下运行，在攻击期间没有更新: Apache/PHP没有安装所有的安全更新。我们认为入侵可能是由于缺少更新而发生的，但我们实际上并不确定。在攻击的前一天，我们安装了Wordpress 3.0.1，但我们不知道Wordpress的安装是否是一个开门器。

有没有办法找出服务器上的哪个安全漏洞允许入侵？

Answer 1

除非你有某种远程日志记录，否则你可能运气不好。

我认为最好把这归功于“吸取的教训”，从头开始重新安装系统(认真地说，不要跳过这一步！)，然后继续修补新系统。

根据我的经验，在一个糟糕的自动修补程序之后进行自动更新和冒险清理比手动进行更新要好得多，并且有可能导致这种情况的发生。在第一种情况下，在非常罕见的坏供应商/发行版补丁事件中，最坏的情况下，您通常只需工作几分钟就可以修复问题。有了一个系统的妥协，这是一个完整的重建和大量的时间损失。