Вчера я заметил, что мой сайт был взломан, и на данный момент я действительно смущен некоторыми вещами. Все файлы - насколько я могу судить - которые были отредактированы или добавлены, были сделаны с определенной учетной записью пользователя; тот, который был связан с каким-то программным обеспечением, которое больше не используется, поэтому его следовало удалить, но не было.
Я удалил все эти файлы - кроме одного * - и удалил учетную запись пользователя, восстановил отредактированные файлы и т. Д. Практически все изменения были внесены в WordPress на стороне сайта. Большая часть сайта не является wordpress, но они находятся на одном физическом сервере. Все изменения и дополнения находились в каталогах, принадлежащих удаленному пользователю или www-data.
* Файл, который я не удалял, но я переименовал и переместил, был одним из инструментов, которые использовал хакер ... наверху у него есть "Web Shell by oRb", но это все, что я могу вам о нем рассказать. .
Это подводит меня к моему первому вопросу (я знаю, что излишне многословен, извините) - с помощью этого инструмента я могу редактировать или создавать файлы в любом из каталогов, принадлежащих www-data, и я могу читать практически каждый файл в каждом каталог на машине. Итак, мой вопрос: может ли этот инструмент сделать это только потому, что он уже находится на сервере? Или я просто настежь?
Мой второй вопрос: какие разрешения для веб-сервера лучше всего? Я знаю, что об этом спрашивали миллион раз. Моя сторона сервера имеет мою учетную запись как владельца и мою группу - только меня - как группу. Сторона wordpress (которой я становлюсь очень настороженно) принадлежит www-data. Это уместно? Какие должны быть разрешения rwx?
На самом деле я не жду, чтобы кто-то диагностировал серьезную проблему - как они вообще попали - но любая ясность по второму и в первую очередь по первому вопросам будет очень признательна!
Спасибо!
Все стороны WordPress принадлежат www-data. Это уместно?
Обычно это не подходит. Это правда, что wordpress действительно нуждается в каталоге данных, в который могут записывать www-data, но по большей части www-data не должны владеть какими-либо файлами или папками. Все, что принадлежит www-data, может быть обновлено веб-сервером. Если у вас есть ошибочный PHP-код (или любая другая технология на стороне сервера), то злоумышленник может каким-то образом обмануть этот ошибочный PHP-код, обновив один из PHP-скриптов, чтобы сделать что-то, что злоумышленник хочет связать, загрузить файл с удаленного сервера и установить это где-нибудь в вашей системе.
Некоторым веб-приложениям необходимо записывать данные в файловую систему. За очень редкими исключениями вы почти никогда не должны разрешать выполнение каких-либо сценариев из этих каталогов данных.