Linux

我如何知道我的 Linux 伺服器是否已被黑客入侵?

  • December 26, 2017

Linux 伺服器被黑客入侵的跡像是什麼?是否有任何工具可以按計劃生成和通過電子郵件發送審計報告?

  1. 在某處保留關鍵系統文件(例如 ls、ps、netstat、md5sum)的**原始副本,其中包含它們的 md5sum,並定期將它們與實時版本進行比較。**Rootkit 總是會修改這些文件。如果您懷疑原件已被洩露,請使用這些副本。
  2. aidetripwire會告訴您任何已修改的文件——假設他們的數據庫沒有被篡改。
  3. 配置 syslog 以將您的日誌文件發送到遠端日誌伺服器,在那裡它們不能被入侵者篡改。觀察這些遠端日誌文件是否有可疑活動
  4. 定期閱讀您的日誌- 使用logwatchlogcheck來綜合關鍵資訊。
  5. 了解您的伺服器。了解哪些活動和日誌是正常的。

引用自:https://serverfault.com/questions/2783