bing_yu2001 2022-05-15 13:56 采纳率: 66.7%
浏览 88

突然发现 nginx目录下的文件全没了,是不是被黑客给删除了?

我个人的云服务器
我用 docker 安装的 nginx , 配置了 https 访问
项目已部署好
今天发现项目有 bug , 就在本地修复项目 bug 后再部署,连上服务器进入 html 目录,发现里边的文件全没了,再查看其它几个目录,目录下的文件也都没有,是不是被黑客给删除了呀?

上次服务器报警有黑客注入 shell 脚本 ,我还没来得及解决,这次又把我打爬下了。我在本地虚拟机部署从来没发现这个问题。

[root@nginx]# ll
总用量 20
drwxr-xr-x 2 root root 4096 5月 15 12:01 cert # 这个目录下放了两份证书的文件
drwxr-xr-x 2 root root 4096 5月 15 11:59 conf # 这里是默认的 配置文件
drwxr-xr-x 2 root root 4096 5月 15 11:58 conf.d # 这目录也是文件
drwxr-xr-x 4 root root 4096 5月 15 13:15 html # 这目录下也是文件
drwxr-xr-x 2 root root 4096 5月 15 12:02 logs

  • 写回答

2条回答 默认 最新

  • IT民工金鱼哥 运维领域新星创作者 2022-05-16 14:21
    关注

    如果,排除你个人操作的问题的话,那就有可能,尤其你也收到了告警:服务器报警有黑客注入 shell 脚本。。。
    这样就需要核查这脚本究竟是怎样,才可以定夺。

    还有,看出,你部署服务用了高权限,所以,对方访问的机器,权限不能用最高,不必要的端口也不会对方设置访问,权限控制方面需要尽量收起来。

    评论
  • 丨金同学丨 2022-05-16 19:26
    关注

    以下为本人遇到类似问题可能采取的排查流程:
    1.先排查服务器的其它文件是否有被删除的情况,如果服务器的其他内容也有被删除或篡改的痕迹,那么被攻击肯定是无误了,但是如果只有nginx的内容被删除了情况就比较多了,建议看一下nginx日志,恶意操作是否是从网络请求中注入的。同时排查一下系统日志看一下ssh是否存在暴力破解等情况。
    2.加强服务器安全防护,如果是云服务器定时修理服务器漏洞以及安全基线,如果是虚拟机的话建议修改高危端口,例如ssh22端口、telnet23端口等,同时修改服务器密码为高复杂度密码,并且设立ssh登录失败处理机制。
    3.对服务器进行加固后,不能保证对方是否在服务器内埋藏其他恶意脚本,建议修改数据库密码,避免服务器中明文存储数据库密码,同时缩小数据库用户权限,避免数据受到威胁加重损失。
    以下为本人针对楼主情况的分析:
    首先可以看出是nginx容器中的内容被删除了,那么不排查个人操作失误执行了rm等高危命令。因为如果是黑客进行攻击的话不可能单单搞垮你一个容器而已,nginx容器挂了你重拉一个就可以包括html文件你重新上传一份也就罢了,所以个人还是偏向于误操作这个原因。一切的排查还是要基于日志为基准。
    所有内容都为个人的拙见,还请勿喷。

    评论

报告相同问题?

问题事件

  • 创建了问题 5月15日

悬赏问题

  • ¥20 关于#javascript#的问题:但是我写的只能接码数字和字符,帮我写一个解码JS问题
  • ¥15 prophet运行报错,如何解决?
  • ¥20 前端数据是从session等作用域拿到的,如何取值继续传递后端呢
  • ¥15 eclipse无法正常运行
  • ¥15 定义了函数,但是无法根据函数定义触发器
  • ¥20 5变量卡诺图化简得出与非门电路图
  • ¥15 Python爬取交通拥堵指数数据
  • ¥15 使用vba抓取重定向网页问题
  • ¥20 付费需求测试程序(细谈)。
  • ¥15 为什么这段c++代码会报这么多语法错误?