Mysql

是否有“另一種”獲取 SFTP 活動日誌資訊的方法?

  • October 7, 2020

自上週以來,我一直在管理 debian 伺服器。它曾經有另一個管理員。

我認為它已被黑客入侵:可能已通過 SFTP 讀取文件以獲取有關託管在我提到的伺服器上的站點的資訊,然後通過 PhpMyAdmin 從數據庫中刪除表。

我將在這裡放棄,因為 phpmyadmin 預設情況下不記錄活動,而 SFTP 也不記錄。伺服器的 SFTP 活動和 phpmyadmin 未配置為將數據輸出到日誌文件。

看似合理的“黑客”犯了一個錯誤,使用我不知道存在的使用者訪問伺服器,幾次通過 SSH!但是我無法再跟踪任何活動,因為他/她足夠小心,只能導航到託管站點的文件夾(直接,甚至沒有弄亂文件,所以他清楚地知道伺服器)其餘的活動是通過 phpmyadmin 和 SFTP 進行的。

正如您可能意識到的那樣,沒有多少人知道伺服器上的這個使用者,因為它不是 root,而且我有他的 IP 地址,我們都知道這無濟於事。

當他/她以其他使用者身份登錄時,他/她在伺服器上所做的只是cd進入站點所在的目錄,在那裡創建了一個名為“m”的目錄,僅此而已;“m”目錄被刪除了,我沒有使用終端刪除,入侵者也沒有刪除。

該文件/etc/ssh/sshd_config現在已配置為跟踪活動,並且可以正常工作,但是不幸的是,這當然為時已晚。

您能否幫我找到一種跟踪 SFTP 活動的方法或任何其他跟踪特定伺服器使用者活動的方法,而不是執行history通過 SSH 以該使用者身份登錄的命令?謝謝!

無法跟踪 SFTP 活動。

不幸的是,在攻擊後進行更改之前,我找不到有關 SFTP 活動的資訊。然而,apache 日誌在這裡非常有用,並且由於本地網際網路提供商不經常更改公共 IP,我們能夠確定我提到的失去的表是由相同的 IP 地址創建的,而且我們也知道那個設備用於執行查詢。

但畢竟我們甚至不需要建造時間機器……

任何處理類似情況的人都可以檢查 apache 日誌並找出有關惡意活動如何/何時發生的關鍵資訊,並了解是誰做的。

引用自:https://serverfault.com/questions/1036528