在线发布、提交软件

当前位置:首页 > 电脑教程 > 网络安全

网站被黑后应急响应思路和方法

时间:2014-10-21 09:08:43  来源:软件园  作者:姚迎乐

1、2014-07-17日20:10分,某运营商单位管理员发现有其官网被黑,其首页某个链接上被挂了黑页。管理员还发现服务器的root密码已经被黑客修改,无法用root登陆SSH。现在运营商电话求助于你,让你去做应急响应。
经电话询问管理员得知以下信息: 
1)官网的构架是linux(centos6.2)+apache(webwork框架)+oracle(11G)数据库
2)apache是root用户启动的
3)服务器只开放80和22端口
4)官网服务器在一个月之前做了全面的安全评估,未发现问题
请根据以上信息写出你应急响应的思路和方法?
    5)黑页的地址为:www.xxx.com/hack.txt

请写
出你的应急响应思路和方法?
答: 1.用最新的struts2利用工具溢出得到系统权限,并修改root密码。或者拿光盘单用户模式修改root密码   (2分)       
 2.root密码登录ssh,用命令last查看最近登录的用户,看是否有异常的登录,用cat /etc/passwd查看用户看是否有异常的用户增加(2分)
     3.打包web路径的源代码下载到本地windows服务器,并用webshellscan对其扫描,看是否存在webshell。或者find / -mtime -2 -type f -name *.jsp查找最新的文件,然后对其代码分析。(2分)
    4.查看apache的日志access_log,并以hack.txt文件名搜索,查看入侵者的IP、事
件、行为以便确认黑客是通过什么漏洞进来的。(2分)
    5.用checkrootkit或者hkrunter对系统的进程、服务、端口以及内核进行检查,看是否被植入了rootkit (2分)
    6.更新apache struts为Apache Struts 2.3.15.1并删除hack.txt,修改系统root密码和oracle数据库的密码 (2分)

请注意版权!转载须写明出处:动力软件园 http://www.pw88.com