Ubuntu

我認為我的伺服器被黑了 - 我怎麼知道發生了什麼變化?

  • August 14, 2014

我已經閱讀了以下沒有回答我的問題的文章:

-我的 linux 伺服器被黑了。我如何知道它是如何以及何時完成的?

-我如何知道我的 Linux 伺服器是否已被黑客入侵?

  • 以及更多…

伺服器設置是這樣

的: - Ubuntu 伺服器在路由器(Cisco EA6500)之後並且沒有埠轉發(uPNP 已啟用)。

  • 最愚蠢的想法是讓使用者user使用密碼呼叫user

今天我進入了通過ssh連接的php webeditor並且沒有接受密碼。我發現伺服器可能已被黑客入侵。

我發現以下內容:

-所有伺服器文件的時間戳都更改為我上次登錄日期(今天) -星期五添加了

一個 cronjob

  • ubuntu 啟動時出錯,提示“錯誤變數 ROOT 未設置”/dev/shm/- /.ICE-UNIX/update >/dev/null 2>&1

我做了什麼:

問題:

  • 我怎麼知道發生了什麼變化?

  • 如果沒有 ssh 埠暴露,他們是如何進入的?

後來編輯: 他們完好無損地保留了日誌,我發現他們通過 ssh 輸入並更改了密碼。過去幾周有很多 ssh 登錄嘗試。我已經重新安裝了系統,移動了埠,安裝了防火牆,並且正在檢查路由器。它肯定有安全漏洞。謝謝你們!

我不再信任那台機器,並且會重新安裝並可能掃描 rootkit(一些 rootkit 甚至可以在驅動器格式化後倖存)。

如果您關心安全性,我個人的建議是重新開始。

引用自:https://serverfault.com/questions/619485