He sido hackeado, y ahora estoy un poco confundido acerca de algunas cosas

Me di cuenta ayer que mi sitio ha sido hackeado, y estoy realmente confundido acerca de algunas cosas en este momento. Todos los archivos – por lo que puedo decir – que fueron editados o agregados se hicieron con una cuenta de usuario específica; Uno que se asoció con algún software que no se está utilizando más así que debería haber sido eliminado, pero no lo fue.

Quité todos esos archivos – excepto uno * – y quité la cuenta de usuario, reparé los archivos editados, el etc. Casi todas las ediciones estaban en el lado de wordpress del sitio. La mayoría del sitio no es wordpress, pero están en el mismo servidor físico. Todas las ediciones y adiciones fueron en directorios propiedad del usuario eliminado o propiedad de www-data.

* El archivo que no quité – pero lo cambié de nombre y lo moví – era una de las herramientas que el hacker usó … tiene "Web Shell by oRb" en la parte superior, pero eso es todo lo que puedo decirle acerca de ello .

Esto me lleva a mi primera preocupación (sé que estoy siendo demasiado detallado, lo siento) – con esta herramienta, puedo editar o crear archivos en cualquiera de los directorios de propiedad de www-data, y puedo leer prácticamente todos los archivos en cada En la máquina. Así que mi pregunta es, es esta herramienta sólo es capaz de hacer esto porque ya está en el servidor? ¿O sólo estoy abierto?

Mi segunda pregunta es, ¿cuáles son los mejores permisos para el servidor web? Sé que esto se ha pedido un millón de veces. Mi lado del servidor todo tiene mi cuenta como el propietario y mi grupo – de sólo yo – como el grupo. El wordpress (que me estoy convirtiendo en muy cauteloso de) lado es propiedad de www-data. ¿Es esto apropiado? ¿Cuáles son los permisos rwx?

Realmente no espero que nadie diagnostique la gran preocupación – cómo entraron en el primer lugar – pero cualquier claridad en el segundo y principalmente las primeras preguntas sería realmente apreciado!

¡Gracias!

El lado de wordpress es propiedad de www-data. ¿Es esto apropiado?

Generalmente no es apropiado. Es cierto que wordpress necesita un directorio de datos que www-data puede escribir, pero en su mayor parte www-data no debería poseer ningún archivo o carpeta. Cualquier cosa que www-data posee podría ser actualizada por el servidor web. Si tienes código PHP de buggy (o cualquier otro lado del servidor de tecnología), entonces un atacante podría ser capaz de engañar de alguna manera que el código PHP buggy en la actualización de uno de los scripts PHP para hacer algo que el atacante quiere descargar un archivo de un servidor remoto e instalar En alguna parte de su sistema.

Algunas aplicaciones web necesitan escribir datos en el sistema de archivos. Con muy raras excepciones, casi nunca se debe permitir que ningún tipo de scripts se ejecuten desde esos directorios de datos.