有个相应圈子里挺有名的论坛,之前一直被人各种盗号什么的。
之前帮她们折腾了一下服务器,感觉还是弄的挺干净的,但是据说黑客还是很猖獗,所以前来求各位菊苣分析。
服务器状况:
服务器是跑在debian8上装的LXC容器里,母机算是很安全的问题不大。
容器内部是新装的debian8,跑了ssh ftp php-fpm nginx mysql linode和fail2ban,别的什么也没有。
root密码新设的,很长很长。有一个访问webroot的账号,密码也是新设的,很长很长。
论坛为了安全,在重装系统的时候重新抓了DX3.1的全套程序来重新装了下,模板风格什么的都是重新弄的,只留了附件与数据库。附件和用户上传的头像文件什么的,已经从nginx里屏蔽了php执行。
发生了什么:
管理员在更改过自己的密码与安全认证问题以后依然被人登录论坛后台,执行各种操作。超版和高级用户的账号的email经常被人改掉。管理员表示非常闹心。
ssh上去打last,里面只有我自己的登录记录。
求:
我漏了什么重要的点么?
之前帮她们折腾了一下服务器,感觉还是弄的挺干净的,但是据说黑客还是很猖獗,所以前来求各位菊苣分析。
服务器状况:
服务器是跑在debian8上装的LXC容器里,母机算是很安全的问题不大。
容器内部是新装的debian8,跑了ssh ftp php-fpm nginx mysql linode和fail2ban,别的什么也没有。
root密码新设的,很长很长。有一个访问webroot的账号,密码也是新设的,很长很长。
论坛为了安全,在重装系统的时候重新抓了DX3.1的全套程序来重新装了下,模板风格什么的都是重新弄的,只留了附件与数据库。附件和用户上传的头像文件什么的,已经从nginx里屏蔽了php执行。
发生了什么:
管理员在更改过自己的密码与安全认证问题以后依然被人登录论坛后台,执行各种操作。超版和高级用户的账号的email经常被人改掉。管理员表示非常闹心。
ssh上去打last,里面只有我自己的登录记录。
求:
我漏了什么重要的点么?