由于我们的服务器安全性差,我们被黑了。黑客可能通过 html 文件夹中包含数据库凭据的 php 文件访问了数据库。/var/www/html 文件夹具有 root 权限和 777 权限。黑客会在 /var/www/html 文件夹之外注入任何东西吗?我们是否必须重置我们的服务器,或者适当的安全措施?
请注意,我们已经更改了其中的 html 文件夹和文件的权限和所有权。我们还更改了数据库凭据并实现了一些 MySQL 安全性。还阻止了除 http、https 和 ssh 端口之外的所有端口(也更改了 ssh 端口)
假设您使用的是基本的 Apache2 设置,所有
apache2执行的进程和 PHP 代码都以 user:group 身份运行,www-data:www-data这限制了它可以写入数据的位置。攻击者可能会访问:您的 SQL 数据库因为凭证很可能必须存储在某个地方
www-data才能读取,否则您的网络应用程序(例如 Wordpress)将无法连接到您的数据库。您的目录中的任何文件
/home/*,除了具有权限600或类似权限的文件,例如 SSH 密钥。这意味着攻击者在大多数情况下都无法访问您的 SSH 密钥。任何 API 令牌或其他存储在
/var/www/html其中的任何配置文件
/etc都没有受限权限。值得注意的是,它/etc/letsencrypt/live具有受限的权限并且无法读取,www-data因此您的 SSL 密钥应该是安全的。无论如何,我建议不要信任系统上的任何凭据,例如 SSH 密钥、API 令牌和颁发新的 SSL 证书以确保安全。您可以这样做
find / -group www-data来查看由创建的任何文件,www-data因为可能存在一些可写的随机区域,例如/tmpPHP 会话的存储位置/var/run等。