我怎么知道“医药黑客”黑客是如何进入我的网站的？

Question

我的一个网站一直是“医药黑客”的持续目标--但它使用的是Drupal而不是Wordpress或Joomla。它是版本6，但它已经更新为最新版本，我安装的所有模块也是如此。

我更改了密码，删除了违规文件，完全重新安装了网站，但不知怎么的，它们继续获得访问。这个网站是一个非营利组织，它严重影响了我们在谷歌上的搜索结果等等。

Answer 1

您不能信任从服务器本身获得的任何统计数据或指标。它可能有一个rootkit (或多或少是基于POSIX的病毒euphamism )。如果您绝对必须分析服务器，则需要分析NIC中的流量。使用一个点击/镜像端口，并准备好筛选一堆垃圾。当然，服务器可能没有rootkit。清除服务器可能是一件简单的事情。当然，您可以使用类似Rootkit Hunter的东西来尝试并纠正这种情况。

我再说一遍:你再也不能相信你在那个服务器上看到的东西了。你必须到外面去看看到底是怎么回事。

你最好的选择就是把它从轨道上核爆。

重建它。监视文件系统的每一项更改。了解绊线。我也通知。

阅读这个ServerFault线程“我的服务器被黑客入侵”。两次。这就是全部。