最近有人联系我,说他们在我的网站中发现了一个漏洞。他们能够通过向我发送我自己的数据库列表(其中一些已经创建但从未被任何人使用或引用),我的 webroot 的完整目录列表(不那么令人印象深刻,但它确实包含隐藏文件)来证明这一点),以及 MediaWiki 的配置文件内容和来自其中一个数据库的示例。似乎他们已经能够删除一个数据库,并在另一个数据库上运行大规模更新以在 Wiki 上引入垃圾邮件链接。
我似乎激怒了他们,说我不使用比特币,因此无法向他们支付任何关于他们如何做到这一点的“报告”——当然,这并不是我真正想要的。
在造成任何进一步的损害之前,我真的需要帮助想办法阻止这种攻击 - 如果这不是此类事情的正确位置,我深表歉意,但这是我想到的第一件事。任何建议,从停止攻击到可能完全扭转局势,都将不胜感激。如果您需要更多信息,请询问!
不要试图扭转局面。
只需断开该站点与 Internet 的连接,获取取证副本(如果您想尝试找出到底发生了什么,或传递给执法部门),然后从头开始擦除和重建。
由于追查肇事者的可能性非常小,我建议不要浪费你的钱。只需擦拭并重建,并在再次在线连接之前查看您的安装。这应该包括平台、操作系统、应用程序等的最新补丁、配置选项和一般强化指导。
如果不了解该网站或获得测试许可,这是不可能完全回答的。我假设该网站是“pokefarm.com”?
以下是关于如果我是你我会做什么的总体概述。
您需要学习一些有关安全编码和安全工具的知识,并且在站点受到积极攻击时尝试保护站点将是令人沮丧的无效。您不知道他们拥有什么级别的访问权限或任何东西。
因此,使站点脱机并干净地构建它并在测试环境/虚拟机中运行它,直到它被修复。我可以争辩说,如果它受到损害,将其搁置是不负责任的,因为它可能被用来攻击他人。
查看网络服务器日志,了解他们是如何进入的以及他们可能来自哪里。在日志中查找数据库错误、找不到文件和任何其他神秘行为。(Rory Alsop 建议获取完整的法医副本是一个很好的建议)
修理:
查看OWASP 前十名。尝试在您的代码或配置中找到可能引入了其中描述的一些漏洞的位置。例如,您未能正确清理用户提供的参数的位置。修复这些位置。
针对您的应用运行开源安全扫描程序。( ZED , W3AF , SQLMap ) SQLMap 适用于 SQL 注入。除非您可以缩小错误所在的范围,否则 SQLMap 对您来说将非常耗时。W3AF 可以帮助缩小范围。
修复您在扫描仪中发现的错误。
持续维护:
观看日志。当通过网络访问某些隐藏目录和/或数据库表时,有一种方法可以得到警报。记录其他与安全相关的事件(角色更改、新用户、登录失败、登录成功)