Когда наш сайт был заражен, мы всегда просто изменяем пароль root и пароль mysql, исправляем код, где есть уязвимость. Но я думаю, что этого недостаточно, у кого-то есть больше прогресса на нем? Я просто не знаю, имеет ли он бэкдор в нашей системе или имеет другую атаку, о которой я не знаю.Что делать, если наш сайт был заражен
ответ
Проблема в том, что после того, как система была однажды взломана, вы не можете быть на 100% что хакер не оставил вам бэкдор, если только он не оставит журнал того, что он сделал.
Лучшим способом будет полная перезагрузка системы. Переустановите ОС и полностью перестройте сервер. Однако это не всегда возможно.
Я бы посоветовал вам
- Перестроить систему
- Проверьте весь код, используя SQL в вас приложение, чтобы использовать подготовленные заявления
- войти в SQL в течение некоторого времени и пройти через него, чтобы увидеть, если хакер пытается снова и сделать двойной, что вы получите код, он направлен на
(оригинальный пост говорил инъекции - не инфекция)
ну, у системы есть какая-то другая услуга, она не может быть восстановлена сразу. Я проверяю журнал доступа, ошибку, но это кажется нормальным, за исключением отсутствия одного или двухчасового журнала. И в mysql binlog только что нашел, что он создал таблицу и вставлял одну информацию, а затем удалялся! Мне скучно, что я не могу ничего сделать, чтобы убедиться, что он всегда там! – xiaopihai
Звучит как SQL-инъекция, но странная вещь что журналы отсутствуют. Выполнение этого через SQL очень сложно. Может быть, хакер может выполнить код через функцию 'exec()'? – GuyT
- 1. Я думаю, что мой сайт заражен
- 2. Что делать, если родительский филиал был раздавлен?
- 3. Что делает наш сайт «вращением» в производстве?
- 4. Проверьте, если сайт был изменен
- 5. Что делать, если (';') делать и понимать?
- 6. что делать, если backpressed
- 7. Что делать, если веб-сайт не отвечает кодом ошибки HTTP?
- 8. Наш клиент не любит всплывающие окна, что нам делать?
- 9. Cloudfront перенаправляется на наш сайт
- 10. Что делать, если нет ошибки?
- 11. Если я подозреваю, что наш сайт взломан и украдены данные, где я начну искать доказательства?
- 12. Что делать, если Javascript отключен клиентом?
- 13. Log4Net/LogEntries сбили наш производственный сайт
- 14. Что делать, если генерируется IOException?
- 15. Что делать, если Text = NULL?
- 16. Что делать, если sys.stdout.encoding - None?
- 17. Что делать, если токен истек
- 18. Что делать, если JWT украден?
- 19. Что делать, если XCTestExpectation неожиданно
- 20. Что делать, если WS_MAXIMIZE работает?
- 21. Что делать, если HashMap заполнен?
- 22. Что делает «если (1)» делать?
- 23. Что делать, если inptr == NULL?
- 24. Что делать, если ОС убила IntentService?
- 25. Что делать, если мои пользователи имеют ie6
- 26. Что делать с телефонами, если нет CSS?
- 27. Если на сайте нет API - что делать?
- 28. Был ли мой сайт взломан?
- 29. Что делать, если SKPaymentTransactionState является SKPaymentTransactionStatePurchasing?
- 30. Что делать, если время процессора стало дешевым?
Когда вы говорите «введенный», вы имеете в виду «зараженный»? – Dai
Возможно, сервер взломан. Также убедитесь, что вы не уязвимы для XSS, SQL-инъекций, ... – GuyT
Надеюсь, что это поможет вам больше ... http://stackoverflow.com/questions/60174/how-can-i- prevent-sql-injection-in-php – DeDevelopers