作者stanlei80 (阿翔)
看板PHP
标题[请益]如何预防与清除骇客
时间Thu Feb 25 03:37:38 2016
最近公司网站频频惨遭入侵
资料库的资料被窜改
图片都被替换了
虽然平常有在备份资料
但每天这样还原也是很累
密码也修改了,资料档案都还原了 不知道是哪里没清理乾净
感觉是有很多档案在伺服器定时执行,请问各为大大都是如何防范以及如何排除呢?
感激不敬!!
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 219.70.28.122
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/PHP/M.1456342660.A.454.html
1F:推 bojack: 主机对外开了哪些 Port ? Log 看了没有 ? 02/25 08:00
2F:推 leftless: 不一定是中毒 可能是漏洞 这样你怎麽清都没用 02/25 12:13
3F:→ localhost: sql注入吗? 02/25 18:01
4F:→ MOONRAKER: 到log里面去找吧 漏洞全都藏在那里了 02/26 02:04
5F:→ stanlei80: 主机没特别限制port,有稍微看一下log但是看不懂里面 02/26 13:52
6F:→ stanlei80: 的意思… 请问有详细介绍的网站吗 02/26 13:52
7F:→ Canboo: 应该要从根本检查起,最常见的SQLinjection和XSS都要测 02/26 13:54
8F:→ Canboo: 如果没把BUG处理掉,每天就复原不完了 02/26 13:54
9F:→ stanlei80: 怎麽看是否是sql注入 02/26 13:56
10F:推 st1009: 把你网站丢上来给大家检查看看? 02/26 14:55
11F:推 et69523820: 基本上资料库资料被窜改 很有可能是被sql注入 02/26 18:20
12F:→ et69523820: 先检查一下SQL语法 是否使用PDO的方式 02/26 18:20
13F:→ stanlei80: 公司网站不方便放上来,写法不是用pdo,但是有用mysql_r 02/27 04:05
14F:→ stanlei80: eal_string过滤了 02/27 04:05
15F:→ stanlei80: 在猜想骇客是从网站後台登入,上传php档,因为我有看 02/27 04:09
16F:→ stanlei80: 到一些图片都显示不出来 02/27 04:09
17F:→ airbone0407: 改用PDO, mysql、mysqli等方法mysql_real_string 还 02/27 08:03
18F:→ airbone0407: 是有方法躲 02/27 08:03
19F:→ airbone0407: 後台将设定档的登入後台限定localhost才可存取 02/27 08:05
20F:→ airbone0407: Apache+PHP 架站的可以参google 「how-to-secure-ph 02/27 08:11
21F:→ airbone0407: pmyadmin」 02/27 08:11
22F:→ airbone0407: Linux为伺服器的话,则要去分析有没有被拿走root权 02/27 08:13
23F:→ airbone0407: 限 02/27 08:13
24F:→ airbone0407: 网页可能没问题,本机安全设定比较重要 02/27 08:19
25F:→ airbone0407: 公司主官对该类的风险管控及应变机制为何? 02/27 08:23
26F:→ airbone0407: 试试acunetix扫描你的网站,在根据报告内容修补 02/27 08:41
27F:→ airbone0407: 我想会是比较好的着手点... 02/27 08:54
28F:→ airbone0407: 超过5个红字,网站机本上可以砍了.. 02/27 08:56
29F:推 st1009: 如果是後台登入或许他本来有小马,可以检查每个上传档案的 02/27 11:54
30F:→ st1009: 地方是否有设副档名的白名单黑名单 02/27 11:54
31F:推 chang0206: 资料放在有防写开关的随身碟上 XD 03/02 09:48
32F:→ chang0206: 要更新资料的时候关闭防写,更新完就打开 XD 03/02 09:48
33F:推 et69523820: 图片上传 要在後端检查档案型态 很多是假图片真木马 03/08 15:56