1

我已经与黑客斗争了一个多月了,虽然我已经关闭了几个漏洞,但有一个问题我很难弄清楚。

我们有一个“内部”开发的 CMS,我最近全面进行了登录跟踪,其唯一目的是识别是否有人登录了不应该登录的人。现在有几次有人登录了几个不同的站点(CMS 管理员),但是尽管事实上我有来自 CMS 登录验证过程的日志记录,但 apache 日志中没有任何取证证据。

黑客 MO 一直在登录 CMS 并找到一个文件上传器来上传/注入 php shell 和/或后门。我已经关闭了所涉及的漏洞,但这些登录仍在继续发生。

有人可以帮助阐明某人如何访问网页或其他任何内容,并且不会在任何 apache 日志中留下任何痕迹吗?

我们在 WHM/cpanel 平台上使用 Apache 2.2 和 PHP 5.3。

4

1 回答 1

0

如果您的盒子被黑客入侵,您可能无法信任日志 - 黑客可能已经更改了它们。

我认为,如果您想要一个明确的答案,最好的办法是将您的网络端口镜像到另一台计算机,然后进行流量转储,直到您发现可疑情况,然后查看流量日志以查看发生了什么。

根据黑客的能力,您可能会在有问题的盒子上运行数据包捕获 - 它可能不会被注意到。但要带着一粒盐。

另一种可能性是黑客手动设置了 cookie(假设您使用 cookie 来跟踪登录信息)。他们似乎“已登录”,但没有登录。

于 2013-07-02T21:02:44.190 回答