Я унаследовал взломанный сервер Linux Apache CentOS plesk, на котором есть веб-сайты, которые находятся в разработке.
Мой друг посоветовал мне восстановить его с нуля, так как атака, по-видимому, довольно широко распространена, и трудно обнаружить, что явно взломано.
Я никогда не перестраивал сервер, и я не устанавливал сервер в первую очередь, поэтому я спрашиваю, есть ли рецепт или простой контрольный список о том, как выполнить перестройку и восстановить все, как должно быть ?
На этом этапе нормальный ответ - «уничтожить, переформатировать и восстановить из резервных копий».
Есть тонны связанных вопросов здесь или в Google, попробуйте немного поискать.
edit: о, и держите его вне сети, пока он не будет исправлен. :)
Это разумный совет. Попав внутрь, они часто создают несколько самовосстанавливающихся бэкдоров и других полезных вещей. Невозможно подтвердить, что вы когда-либо избавлялись от всех, кроме как начать с нуля. Я испытал это раньше, и это не весело.
chkconfig --list покажет вам, какие службы работают. Ты захочешь посмотреть на 3 а может 5 чтобы узнать, работает ли на сервере что-нибудь еще важное. По умолчанию будет запущено множество сервисов, о которых вам особо не нужно беспокоиться. Для наиболее важных сохраните копию файлов конфигурации для справки, но не копируйте их на новый сервер. Может быть, распечатать их - лучший вариант. Вам нужно будет проверить и понять настройки, чтобы убедиться, что они не были изменены на что-либо вредное, но, по крайней мере, у вас будет отправная точка для того, что необходимо сделать.
Что касается файлов данных (веб-страниц), надеюсь, вы можете взять их из резервной копии или исходного репозитория на другом сервере, вместо того, чтобы копировать их с взломанного сервера. Если вам нужно скопировать их, вы можете попробовать сканировать их с помощью антивирусного программного обеспечения, а затем поищите что-нибудь необычное и надейтесь на лучшее.
Чтобы помочь вам настроить сервер в следующий раз, вам также следует взглянуть на программу автоматической установки.
Важно то, что это должна быть полная установка и настройка без какого-либо вмешательства человека до тех пор, пока, возможно, не будут восстановлены данные из резервной копии, и до того, как сервер вернется в сеть.
Это поможет вам и будущим администраторам при восстановлении серверов после различных сбоев, таких как сбои оборудования и подобные инциденты взлома. Я также буду работать над хорошей и актуальной документацией по программному обеспечению и конфигурации ваших серверов.