Linux

我的伺服器的安全性遭到破壞…我需要幫助 - Ubuntu/Linux

  • August 31, 2010

我正在使用 Ubuntu 10.04。一個不知名的人使用 postgres 使用者帳戶通過 SSH 多次登錄。

我很難找到任何相關活動的日誌,可能是因為這些日誌正在被清理?


我需要幫助記錄此人的活動,以便了解此人做了什麼或正在做什麼?

幫助會很棒,謝謝。


編輯:

我可以為這個人的下一次登錄設置任何陷阱嗎?我不介意讓伺服器保持原樣,只是為了了解這個人的活動。

有任何想法嗎?=)

第一步:使伺服器離線,將其關閉,然後複製硬碟。在進行取證工作時,請僅使用此複製驅動器,保持原件不變。

您應該能夠將複製驅動器扔到另一個系統中,掛載它,然後開始四處尋找使用者所做的事情。我要檢查的第一件事是使用者的~/.bash_history,如果有的話。大多數聰明的黑客在完成工作後會刪除此文件,但它可能仍然存在。如果這不起作用,那麼您真正要做的就是在 /var/log 中記錄消息。您可以嘗試rkhunter在系統上執行,但 IMO,這是不值得的,因為您已經知道該系統已受到損害。根據該使用者的精明程度,您可能永遠不知道他們實際做了什麼。

如果我是你,我會完全重新安裝系統並從已知良好的備份中恢復。這是您能夠確定係統沒有受到損害的唯一方法。PasswordAuthentication此外,當您啟動新系統時,請幫自己一個忙,並在您的文件中關閉/etc/ssh/sshd_config並使用密鑰身份驗證。通過這樣做,您將更安全地遠離此類惡意活動。

引用自:https://serverfault.com/questions/176519