我被要求修复一个在生产服务器上使用 osCommerce 构建的被黑网站。
该站点一直存在于远程主机上。没有离线清洁版。让我们暂时忘记这是多么愚蠢,并处理它是什么。
它已被多次黑客攻击,另一个人通过删除 web shell 文件/上传脚本来修复它。
它经常被黑客入侵。
我能做些什么?
问问题
1253 次
3 回答
28
因为你不能信任网络主机上的任何东西(它可能已经安装了rootkit),最安全的方法是从头开始重建一个新的网络服务器;不要忘记在上线之前更新所有面向外部的软件。在严酷的防火墙的快乐方面进行所有更新。
重建系统时,一定要特别注意正确的配置。如果Web 内容的所有者与Web 服务器的用户 ID 不同,并且文件的权限设置为禁止写入,则 Web 服务器无法修改程序文件。
配置您的 Web 服务器的 Unix 用户帐户,使其仅对其日志文件和数据库套接字(如果它们在文件系统中)具有写入权限。被黑的网络服务器仍然可以向客户端提供被黑的页面,但重新启动将“撤消”“实时黑客”。当然,您的数据库内容可能会被发送给 Yakuza,或者被认为您的数据应该包含独角兽图片的人破坏。最小权限原则将是一个很好的指导方针——确切地说,您的 Web 服务器需要访问哪些内容才能完成其工作?只承认这一点。
还可以考虑部署强制访问控制系统,例如AppArmor、SELinux、TOMOYO或SMACK。这些系统中的任何一个,如果配置得当,都可以控制系统被黑客入侵时可能损坏或泄漏的范围。(我在 AppArmor 上工作了十年,我相信大多数系统管理员可以在一两天内学习如何在他们的系统上部署一个可行的安全策略。没有任何工具适用于所有情况,所以请确保阅读您的所有选择。)
第二次,请务必通过puppet、chef等工具或至少在修订控制系统中管理您的配置。
更新
其他的东西,与重新上线有点无关,但可能具有教育意义:从受感染的系统中保存硬盘驱动器,以便您可以安装它并从另一个系统检查其内容。也许通过对受损数据进行取证可以学到一些东西:您可能会发现泄露发生在几个月前并且一直在窃取密码或ssh密钥。您可能会找到一个 rootkit 或其他漏洞利用工具。您可能会找到显示攻击来源的信息——也许该站点的管理员还没有意识到他们已被黑客入侵。
检查被黑客入侵的数据时要小心.jpg——你不认识的很可能是首先破解系统的漏洞,在“已知良好”的系统上查看它也可能破解它。使用完成后可以格式化的硬盘进行工作。(虚拟化或强制访问控制系统可能足以限制“被动”基于数据的黑客攻击,但没有什么比一次性系统更能让人安心。)
于 2011-06-14T01:04:23.977 回答
9
获取构建站点所用的 osCommerce 版本的新副本,并在新的新 osCommerce 和被黑站点之间进行比较。还要检查存在于服务器上但不在 osCommerce 包中的文件。
通过手动比较差异,您可以追踪黑客可能创建或修改脚本的所有可能位置。
于 2011-06-14T00:47:29.457 回答
0
我知道现在提供这个解决方案有点晚了,但是 osCommerce 开发的官方修复在这里: http ://library.oscommerce.com/confluence/display/OSCOM23/(A)+(SEC)+Administration +工具+登录+更新
一旦应用了这些代码更改,那么大部分实际工作就是清理网站。管理员登录绕过漏洞将导致攻击者通过文件管理器(通常)将文件上传到可写目录,通常是图像目录。
还有其他文件通常也是可写的,其中可能附加了恶意代码。cookie_usage.php 和 includes/languages/english/cookie_usage.php 是受影响的常见文件,但是在某些服务器配置上,所有站点文件都可能受到影响。
即使官方 osCommerce 修复程序链接到上面,我也建议进行此更改:在上面的页面中,向下滚动直到看到显示“更新 PHP_SELF 值”的链接。也进行这些更改。
这将纠正 $PHP_SELF 报告的方式,并防止攻击者使用格式错误的 URL 试图绕过管理员登录。
我还建议您将 htaccess 基本身份验证登录添加到 admin 目录。
另请查看我编写的名为 osC_Sec 的插件,它是一个多合一的安全修复程序,虽然适用于大多数 php 支持的 web 系统,但它专门用于处理旧版本 osCommerce 中存在的问题。 http://addons.oscommerce.com/info/8283
于 2012-01-27T21:21:22.343 回答