У меня есть сервер, который работает нестабильно. Пока я проверяю, взломан ли он, я также думаю о вариантах резервного копирования:
Как сказано во многих сообщениях, единственный способ по-настоящему узнать, что вы чисты, - это стереть и начать заново.
После перезагрузки сервера я хочу восстановить сайт из резервных копий.
Проблема в том, что я не знаю, когда он был взломан (хотя могу предположить).
Если я восстановлю базу данных со взломанного сервера, есть ли вероятность того, что сама база данных каким-то образом была скомпрометирована, или, если я изменил все пароли и т. Д., Могу ли я восстановить из этой базы данных?
Насколько я понимаю, люди пытаются украсть из базы данных, а не использовать саму базу данных в качестве эксплойта, но я действительно не знаю.
(В этом случае я думаю, что сервер был взломан для рассылки спама, а база данных, небольшой веб-сайт, 5 пользователей и т. Д. Не представляют особой ценности).
Используйте известные, хорошие резервные копии
Я предполагаю, что у вас нет резервных копий на момент времени до инцидента безопасности?
Если вы это сделаете, вы захотите восстановить их и, возможно, просмотреть, какие данные были добавлены с тех пор, что может быть нетривиальным, если в базу данных было добавлено большое количество записей.
Использование данных текущего сервера
Если вы планируете использовать данные со скомпрометированного сервера, доверять им не стоит.
Выгрузите данные в другую систему. Измените пароли mysql, а также любые пароли, которые ваши приложения хранят в базе данных.
Как только это будет завершено, вы можете повторно импортировать его на заведомо исправный сервер.
Если ваша база данных хранит HTML-код или аналогичные данные, вы можете сканировать файлы дампа SQL с помощью вредоносных инструментов на предмет известных кодов внедрения. Это не на 100% надежно, но я смог обнаружить SQL-инъекции таким образом, используя такие инструменты, как maldet и clamav.