나는 해킹 당했고, 지금 나는 약간의 것들에 대해 약간 혼란스러워한다.


1

나는 어제 내 사이트가 해킹 당했음을 알았고,이 시점에서 실제로 어떤 것들에 대해 혼란스러워했다. 내가 알 수있는 한, 편집 또는 추가 된 모든 파일은 특정 사용자 계정으로 수행되었습니다. 더 이상 사용되지 않는 일부 소프트웨어와 관련된 소프트웨어는 제거되었지만 제거되지 않았어야합니다.

하나를 제외한 모든 파일을 제거하고 사용자 계정을 제거하고 편집 된 파일 등을 수정했습니다. 거의 모든 편집 내용은 사이트의 워드 프레스쪽에있었습니다. 사이트의 대부분은 워드 프레스가 아니지만 동일한 물리적 서버에 있습니다. 모든 편집 및 추가 사항은 제거 된 사용자가 소유하거나 www-data가 소유 한 디렉토리에있었습니다.

* 제거하지 않은 파일-이름을 바꾸고 옮긴 파일-해커가 사용한 도구 중 하나입니다. 맨 위에 "Web Shell by oRb"가 있지만 그게 전부입니다. .

이것은 저의 첫 번째 관심사입니다 (과도하게 장황하고 있다는 것을 알고 있습니다. 죄송합니다)-이 도구를 사용하여 www-data가 소유 한 디렉토리에서 파일을 편집하거나 만들 수 있으며 거의 ​​모든 파일을 읽을 수 있습니다 머신의 디렉토리. 내 질문은,이 도구는 이미 서버에 있기 때문에이 작업을 수행 할 수 있습니까? 아니면 내가 방금 열려 있습니까?

두 번째 질문은 웹 서버에 가장 적합한 권한은 무엇입니까? 나는 이것이 백만 번 요청되었다는 것을 안다. 서버의 모든 측면은 내 계정을 소유자로, 내 그룹은 나만의 그룹으로 그룹을 갖습니다. 워드 프레스 (내가 매우 경계하고있는) 측은 모두 www-data가 소유하고있다. 이것이 적절합니까? rwx 권한은 무엇입니까?

나는 누군가가 큰 관심사를 진단 할 것을 기대하지는 않습니다-그들이 처음에 들어간 방법-두 번째와 첫 번째 질문에 대한 명확성은 정말로 감사하겠습니다!

감사!


답변:


2

워드 프레스 측은 모두 www-data가 소유합니다. 이것이 적절합니까?

일반적으로 적절하지 않습니다. 워드 프레스에는 www-data가 쓸 수있는 데이터 디렉토리가 필요하지만 대부분의 경우 www-data는 파일이나 폴더를 소유하지 않아야합니다. www-data가 소유 한 모든 것은 웹 서버에 의해 업데이트 될 수 있습니다. 버그가있는 PHP 코드 (또는 다른 서버 측 기술)가있는 경우 공격자는 버그가있는 PHP 코드를 PHP 스크립트 중 하나를 업데이트하여 원격 서버에서 파일을 다운로드하여 설치하려는 링크를 원하는 방식으로 속일 수 있습니다. 시스템 어딘가에 있습니다.

일부 웹 앱은 파일 시스템에 데이터를 써야합니다. 매우 드문 경우를 제외하고는 데이터 디렉토리에서 어떠한 종류의 스크립트도 실행할 수 없도록해야합니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.