自上週以來，我一直在管理 debian 伺服器。它曾經有另一個管理員。

我認為它已被黑客入侵：可能已通過 SFTP 讀取文件以獲取有關託管在我提到的伺服器上的站點的資訊，然後通過 PhpMyAdmin 從數據庫中刪除表。

我將在這裡放棄，因為 phpmyadmin 預設情況下不記錄活動，而 SFTP 也不記錄。伺服器的 SFTP 活動和 phpmyadmin 未配置為將數據輸出到日誌文件。

看似合理的“黑客”犯了一個錯誤，使用我不知道存在的使用者訪問伺服器，幾次通過 SSH！但是我無法再跟踪任何活動，因為他/她足夠小心，只能導航到託管站點的文件夾（直接，甚至沒有弄亂文件，所以他清楚地知道伺服器）其餘的活動是通過 phpmyadmin 和 SFTP 進行的。

正如您可能意識到的那樣，沒有多少人知道伺服器上的這個使用者，因為它不是 root，而且我有他的 IP 地址，我們都知道這無濟於事。

當他/她以其他使用者身份登錄時，他/她在伺服器上所做的只是cd進入站點所在的目錄，在那裡創建了一個名為“m”的目錄，僅此而已；“m”目錄被刪除了，我沒有使用終端刪除，入侵者也沒有刪除。

該文件/etc/ssh/sshd_config現在已配置為跟踪活動，並且可以正常工作，但是不幸的是，這當然為時已晚。

您能否幫我找到一種跟踪 SFTP 活動的方法或任何其他跟踪特定伺服器使用者活動的方法，而不是執行history通過 SSH 以該使用者身份登錄的命令？謝謝！

無法跟踪 SFTP 活動。

不幸的是，在攻擊後進行更改之前，我找不到有關 SFTP 活動的資訊。然而，apache 日誌在這裡非常有用，並且由於本地網際網路提供商不經常更改公共 IP，我們能夠確定我提到的失去的表是由相同的 IP 地址創建的，而且我們也知道那個設備用於執行查詢。

但畢竟我們甚至不需要建造時間機器……

任何處理類似情況的人都可以檢查 apache 日誌並找出有關惡意活動如何/何時發生的關鍵資訊，並了解是誰做的。

引用自：https://serverfault.com/questions/1036528