我的 linux 伺服器被黑了。我如何知道它是如何以及何時完成的？

我有一個執行桌面 ubuntu 發行版的家庭伺服器。我在我的 crontab 中找到了這個

* * * * * /home/username/ /.access.log/y2kupdate >/dev/null 2>&1

在查看該目錄時（使用者名/後面的空格是目錄名），我發現很多腳本顯然在做他們不應該做的事情。

在我擦除那台電腦並重新安裝東西之前，我想找出導致安全漏洞的原因以及何時完成。所以我不再打開同一個洞。

我應該查看哪些日誌文件？我知道在電腦上執行的唯一伺服器是 sshd 和 lighttpd。

我應該怎麼做才能檢測類似的事情是否再次發生？

首先，確保電腦已與任何網路斷開連接。

其次，確保在再次啟動被黑作業系統之前從驅動器中獲取任何重要數據。

首先檢查相關文件的時間戳。通常它們是準確的。

如果它們沒有被擦除，則使用 httpd 日誌和 auth 日誌交叉引用它們。如果一個另一個被抹去，你可以打賭那是進入的手段。如果它們仍然完好無損，您也許可以收集有關它們如何從日誌中進入的更多資訊。

如果它們都被擦掉了，那你就完蛋了。弄清楚發生了什麼可能需要更多的時間，而不是值得。

您提到這兩個服務正在執行，是否有一個好的防火牆來防止其他所有內容被訪問？您是否在埠 22 上允許 SSH；您的登錄資訊是否容易被猜到；您是否允許密碼登錄；您對密碼登錄有任何實際速率限制嗎？您是否安裝了任何其他軟體與 lighttpd；perl; php; cgi; CMS或類似的？您是否正在執行所有軟體的更新版本；您是否為您執行的所有軟體訂閱安全通知並仔細評估所有通知以查看它們是否適用於您執行/公開給公眾的軟體？

引用自：https://serverfault.com/questions/208782