Migrando o server post hack do servidor: para que devemos esfregar os dados antes de movê-los?

Navegue suas respostas
2

Na preparação para a migração de servidores após uma infiltração, queremos remover nossos dados e garantir que não haja hacks ou falhas de segurança maliciosas.

Para ter uma ideia do que quero dizer, aqui está uma lista (até agora) dos testes que faremos:

1) Compare cada arquivo com uma lista de palavras-chave de palavras-chave maliciosas (eval, base64, iframe, viagra, etc) 2) Digitalize sobre qualquer arquivo com mais de um período (foi um sintoma de arquivos hackeados no passado) 3) Identifique quaisquer arquivos com nomes excessivamente longos (outro sintoma)

Alguma ideia de coisas que devo adicionar a esta lista?

    
por Susan 12.02.2011 / 02:32

3 respostas

4

Este é um tipo de sugestão "depois que o cavalo fugiu", mas essa é uma excelente razão para manter o máximo de seus dados possível sob algum tipo de controle de versão - isso torna trivial (a) identificar mudanças e (b) reverter para um ponto bom conhecido.

Se você estiver fazendo o backup de seus dados regularmente (e se não for muito grande), poderá restaurar os dados de um ponto "conhecido" no passado e depois compará-los com seus dados ativos; Se seus backups forem relativamente frequentes e suas alterações legítimas não forem, essa é uma boa maneira de descobrir quais arquivos, se houver algum, foram modificados como parte da infiltração.

    
por 12.02.2011 / 03:05
1

Se você tem o Windows em seu ambiente, eu examino os arquivos com a versão gratuita do Malwarebytes 'Anti-Malware .

    
por 12.02.2011 / 02:43
1

Eu sugeriria executar o Clamscan e o Linux Malware Detect (LMD) contra ele. Entre eles, você deve capturar a maioria dos códigos maliciosos comuns.

É claro que, se o seu invasor codificar algo personalizado, nada menos que uma revisão manual de cada arquivo irá detectá-lo.

    
por 12.02.2011 / 03:57

Tags

Um servidor de e-mail de recebimento (o destino final) vê os e-mails entregues diretamente a ele vs. a um revezamento externo que os encaminha para ele? Como abrir o virtual (.vhd) do win 7 enterprise?