나는 어제 내 사이트가 해킹 당했음을 알았고,이 시점에서 실제로 어떤 것들에 대해 혼란스러워했다. 내가 알 수있는 한, 편집 또는 추가 된 모든 파일은 특정 사용자 계정으로 수행되었습니다. 더 이상 사용되지 않는 일부 소프트웨어와 관련된 소프트웨어는 제거되었지만 제거되지 않았어야합니다.
하나를 제외한 모든 파일을 제거하고 사용자 계정을 제거하고 편집 된 파일 등을 수정했습니다. 거의 모든 편집 내용은 사이트의 워드 프레스쪽에있었습니다. 사이트의 대부분은 워드 프레스가 아니지만 동일한 물리적 서버에 있습니다. 모든 편집 및 추가 사항은 제거 된 사용자가 소유하거나 www-data가 소유 한 디렉토리에있었습니다.
* 제거하지 않은 파일-이름을 바꾸고 옮긴 파일-해커가 사용한 도구 중 하나입니다. 맨 위에 "Web Shell by oRb"가 있지만 그게 전부입니다. .
이것은 저의 첫 번째 관심사입니다 (과도하게 장황하고 있다는 것을 알고 있습니다. 죄송합니다)-이 도구를 사용하여 www-data가 소유 한 디렉토리에서 파일을 편집하거나 만들 수 있으며 거의 모든 파일을 읽을 수 있습니다 머신의 디렉토리. 내 질문은,이 도구는 이미 서버에 있기 때문에이 작업을 수행 할 수 있습니까? 아니면 내가 방금 열려 있습니까?
두 번째 질문은 웹 서버에 가장 적합한 권한은 무엇입니까? 나는 이것이 백만 번 요청되었다는 것을 안다. 서버의 모든 측면은 내 계정을 소유자로, 내 그룹은 나만의 그룹으로 그룹을 갖습니다. 워드 프레스 (내가 매우 경계하고있는) 측은 모두 www-data가 소유하고있다. 이것이 적절합니까? rwx 권한은 무엇입니까?
나는 누군가가 큰 관심사를 진단 할 것을 기대하지는 않습니다-그들이 처음에 들어간 방법-두 번째와 첫 번째 질문에 대한 명확성은 정말로 감사하겠습니다!
감사!