Linux
我如何知道我的 Linux 伺服器是否已被黑客入侵?
Linux 伺服器被黑客入侵的跡像是什麼?是否有任何工具可以按計劃生成和通過電子郵件發送審計報告?
- 在某處保留關鍵系統文件(例如 ls、ps、netstat、md5sum)的**原始副本,其中包含它們的 md5sum,並定期將它們與實時版本進行比較。**Rootkit 總是會修改這些文件。如果您懷疑原件已被洩露,請使用這些副本。
- aide或tripwire會告訴您任何已修改的文件——假設他們的數據庫沒有被篡改。
- 配置 syslog 以將您的日誌文件發送到遠端日誌伺服器,在那裡它們不能被入侵者篡改。觀察這些遠端日誌文件是否有可疑活動
- 定期閱讀您的日誌- 使用logwatch或logcheck來綜合關鍵資訊。
- 了解您的伺服器。了解哪些活動和日誌是正常的。