我已经与黑客斗争了一个多月,尽管我已经堵住了几个漏洞,但有一个问题我很难解决。
我们有一个"内部"开发的CMS,我最近全面进行了登录跟踪,唯一的目的是确定是否有人登录而不应该登录。现在有几次有人登录了几个不同的网站(CMS管理员),但在apache日志中没有任何取证证据,尽管我有CMS登录验证过程中的日志记录。
黑客MO已经登录到CMS并找到一个文件上传器来上传/注入php shell和/或后门。我已经关闭了相关漏洞,但这些登录仍在继续。
有人能帮助我们了解一下如何访问网页或其他什么,而不会在任何apache日志中留下任何痕迹吗?
我们在WHM/cpanel平台上使用Apache 2.2和PHP 5.3。
如果你的盒子被黑客入侵,你可能无法信任日志——黑客可能已经更改了日志。
我认为,如果你想要一个明确的答案,最好的想法是将你的网络端口镜像到另一台计算机,并转储流量,直到你看到可疑的东西,然后查看流量日志,看看发生了什么。
根据黑客的能力,你可能会对有问题的盒子进行数据包捕获,但它可能不会被注意到。但要谨慎对待。
另一种可能性是黑客手动设置了cookie(假设您使用cookie来跟踪登录信息)。他们将显示为"已登录",而没有登录。