我認為我的伺服器被黑了 - 我怎麼知道發生了什麼變化？

我已經閱讀了以下沒有回答我的問題的文章：

-我的 linux 伺服器被黑了。我如何知道它是如何以及何時完成的？

-我如何知道我的 Linux 伺服器是否已被黑客入侵？

• 以及更多…

伺服器設置是這樣

的： - Ubuntu 伺服器在路由器（Cisco EA6500）之後並且沒有埠轉發（uPNP 已啟用）。

• 最愚蠢的想法是讓使用者user使用密碼呼叫user。

今天我進入了通過ssh連接的php webeditor並且沒有接受密碼。我發現伺服器可能已被黑客入侵。

我發現以下內容：

-所有伺服器文件的時間戳都更改為我上次登錄日期（今天） -星期五添加了

一個 cronjob

• ubuntu 啟動時出錯，提示“錯誤變數 ROOT 未設置”/dev/shm/- /.ICE-UNIX/update >/dev/null 2>&1

我做了什麼：

• 通過恢復控制台恢復密碼

• 設置一個小型防火牆，嘗試進入 ssh。

問題：

• 我怎麼知道發生了什麼變化？

• 如果沒有 ssh 埠暴露，他們是如何進入的？

後來編輯： 他們完好無損地保留了日誌，我發現他們通過 ssh 輸入並更改了密碼。過去幾周有很多 ssh 登錄嘗試。我已經重新安裝了系統，移動了埠，安裝了防火牆，並且正在檢查路由器。它肯定有安全漏洞。謝謝你們！

我不再信任那台機器，並且會重新安裝並可能掃描 rootkit（一些 rootkit 甚至可以在驅動器格式化後倖存）。

如果您關心安全性，我個人的建議是重新開始。

引用自：https://serverfault.com/questions/619485