На нашем сервере размещен веб-сайт, но мы обнаружили, что в нашу базу данных добавлены некоторые таблицы, поэтому мы подозреваем, что сервер был взломан?
Как я могу это подтвердить и решить?
Если вы действительно подозреваете, что сервер взломан, вам лучше всего настроить новый сервер, убедиться, что он защищен для веб-хостинга, восстановить ваши данные из резервной копии и заменить существующий.
Чтобы узнать, действительно ли ваш сервер взломан, может потребоваться некоторое время, в течение которого вам абсолютно необходимо отключить сервер и изолировать его от остальной сети.
Вы говорите, что наличие дополнительных таблиц в базе данных наводит на мысль, что сервер взломан. К чему эти таблицы относятся? Веб-контент? Я думаю, вы используете IIS (версию?) И некоторую базу данных. Вы не получите особой помощи, если не предоставите более подробную информацию.
Самый простой первый шаг - использовать приложения для поиска руткитов, вы не говорите, какую операционную систему используете, но в Linux это будет chkrootkit или rkhunter. Они должны сообщить вам, были ли какие-либо из ваших двоичных файлов изменены для вредоносных версий.
Как правило, не используйте какие-либо двоичные файлы в самой системе для поиска взлома, поскольку, если они являются вредоносными, они, вероятно, исключат вывод именно того, что вы ищете.
Далее, такие инструменты, как unhide, которые помогут вам найти скрытые процессы и порты TCP / UDP.
После этого я бы провел сканирование уязвимостей с помощью чего-то вроде openVAS, чтобы выяснить, какие дыры у вас есть в системе.
Что вы будете делать после этого, зависит от того, что вы обнаружите, но вкратце, если вы обнаружите что-то подозрительное, я предпочитаю сбросить его и переустановить. В противном случае вы сражаетесь на их условиях.
Вы кодируете и декодируете свой ввод со своего веб-сайта? Вы используете хранимые процедуры и т. Д. ???
Убедитесь, что они не «взламывают» вашу систему через предоставленный пользовательский интерфейс.
Посмотрите на отметку времени, когда таблицы были созданы / изменены, а затем поищите похожие записи и IP-адреса в своих веб-журналах ... то есть базовую перекрестную проверку. Если есть соответствующие записи, попробуйте определить, какие из них являются допустимыми, а какие могут быть профилем злоумышленника. Если соответствующих записей нет, значит, они либо были очищены, либо интерфейс веб-сайта не участвовал в атаке. т.е. сервер был иным образом скомпрометирован.
Затем автоматизируйте все сделанные вами проверки и регулярно проверяйте свою систему.