如何扫描网站的静态副本以寻找被黑客入侵的证据

Posted 2023-02-19

【中文标题】如何扫描网站的静态副本以寻找被黑客入侵的证据

【英文标题】：How to scan static copy of website for evidence of being hacked

【发布时间】：2015-06-12 18:37:17

【问题描述】：

我需要查看 Drupal 站点以确定它是否可能由于 SA-CORE-2014-005 (Drupageddon) 漏洞而受到损害。我有一套我打算遵循的程序，我从另一个网站获得的：

使用 Git 状态检查文件的完整性，如果无法使用 Hacked 进行更改 扫描公共/私人文件位置以查找 *.php、*.sh 和任何其他可疑文件。 在网站上检查文件所有权和权限 安装并运行 Drupalgeddon 模块 安装并运行安全审查模块 安装并运行站点审计模块 查看 mysql 和网络服务器日志 检查用户以查找是否有任何人在他们不应该拥有“管理员”角色时。 检查角色以查找是否有任何已更改的权限或已创建任何新权限。 检查用户表中的可疑条目 检查 menu_router 表中的可疑条目 检查被覆盖的功能是否存在可疑更改 使用 html 输入过滤器查看任何内容以查找可疑内容。 查看变量表以查找任何可疑值 如果可能，请分析会话表以查找来自外部 IP 地址的管理员/高级用户登录并检查他们的上次登录日期 转储整个网站的 HTML，例如使用一些爬虫，并使用 grep 获取链接中的其他参数 检查数据库中是否有任何新的 MySQL 用户。

其中一个步骤是

转储整个网站的 HTML，例如使用一些爬虫，并使用 grep 获取链接中的其他参数

我正计划使用wget -r -k -l0 website-uri 转储该网站。我不确定的是我在寻找什么样的东西？我将如何解决这些问题？是否有一些工具可以做到这一点？

【参考方案1】：

关于转储或 GREP 的方法：

数据库：使用 Sequel Pro/PhpMyAdmin，您可以转储整个数据库的 .sql，然后如果您知道要查找的内容，则可以通过 textedit 等查找。您还可以通过这种方式在两个数据库转储之间进行直接比较，以查找之前和之后的场景。

使用Drush： 您的许多任务都可以通过 Drush 处理。如果您不知道或没有使用过它，那么强烈建议您查找有关它的更多信息并使用它。

寻找什么：

我发现您的列表中缺少的关键内容之一是日志。首先要查看的地方之一是 Drupal Watchdog 和服务器日志。这些可以作为任何可疑活动的良好指标（当然在大量消息中）以及在特定时间发生的事情的良好快照。 缩短您正在查看或知道攻击可能导致问题的时间将有助于您查看更小的日志子集 请记住，有些妥协不仅仅是代码。例如获得管理员访问权限并更改内容的人。这真的很难与网站管理员或编辑更新内容的常规网站行为区分开来。因此，一切都取决于利益相关者和网站所定义的妥协定义。