1

私は 1 か月以上にわたってハッカーと戦ってきました。いくつかの穴をふさぎましたが、把握するのに非常に苦労している問題が 1 つあります。

私たちは「社内」で開発された CMS を持っており、最近、誰かがログインしてはならないかどうかを特定することのみを目的として、全面的にログイン追跡を導入しました。数回、誰かがいくつかの異なるサイト (CMS 管理者) にログインしましたが、CMS ログイン検証プロセスからのログ レコードがあるという事実にもかかわらず、Apache ログには法医学的証拠はまったくありません。

ハッカーの MO は CMS にログインし、php シェルやバックドアをアップロード/挿入するためのファイル アップローダーを見つけました。関連する穴を閉じましたが、これらのログインは引き続き発生します。

誰かが Web ページなどにアクセスして、Apache ログに痕跡を残さない方法について、光を当てるのを手伝ってくれませんか?

WHM/cpanel プラットフォームで、Apache 2.2 と PHP 5.3 を使用しています。

4

1 に答える 1

0

ボックスがハッキングされた場合、ログを信頼できない可能性があります。ハッカーがログを変更した可能性があります。

明確な答えが必要な場合は、ネットワークポートを別のコンピューターにミラーリングし、疑わしいものが見つかるまでトラフィックをダンプし、トラフィックログを調べて何が起こったのかを確認することをお勧めします.

ハッカーの腕次第では、問題のボックスでパケット キャプチャを実行しても問題が解決しない場合があります。しかし、一粒の塩でそれを取ります。

もう 1 つの可能性は、ハッカーが手動で Cookie を設定したことです (ログイン情報を追跡するために Cookie を使用すると仮定します)。ログインしていなくても、「ログインしている」ように見えます。

于 2013-07-02T21:02:44.190 に答える