У меня есть веб-сайт, и записи mysql в таблицах базы данных были удалены или изменены значения.
я нашел хакера довольно быстро, но он внес лишь незначительные изменения.
у меня есть несколько форм на сайте. возможно ли, что он использовал инъекцию?
как выяснить как он это сделал? что нужно протестировать в первую очередь?
Вы обновляли свою систему до последней версии?
Это работа по индивидуальному программированию? Если да, вам нужно выяснить, была ли это какая-то инъекция или ошибка, и исправить ее.
Если это был случай несвоевременного обновления исправлений уязвимостей и / или обновлений, вам необходимо стереть данные и начать заново с чистой резервной копии, а затем обновить ее до последней версии. Вы не можете поверить, что это не было изменено с помощью бэкдоров. Даже программы проверки руткитов можно обмануть, или у них нет проверок всего; всегда будет возможность, что злоумышленник оставил для вас какие-то «подарки».
После восстановления установите что-то вроде Tripwire, которое хранит MD5 ваших файлов и помогает находить изменения в системных двоичных файлах (конечно, не храните файл сравнения на одном сервере). Это будет неприятно, но это единственный способ убедиться, что ваши системные двоичные файлы не будут скомпрометированы в будущем.
Резюме; ваша система взломана, вы не можете ей доверять. Найдите причину вторжения, чтобы вы могли закрыть дыру, восстановить из резервной копии, исправить дыру, принять меры для мониторинга системы в случае будущего вторжения.