我的linux服务器被黑了。我如何知道它是如何以及何时完成的?

Modified on: Thu, 23 May 2019 23:00:03 +0800

我有一台运行桌面ubuntu发行版的家庭服务器。我在我的crontab

中找到了这个

* * * * * /home/username/ /.access.log/y2kupdate >/dev/null 2>&1

当查看该目录(用户名/后面的空格是一个目录名)时,我发现很多脚本显然都做了他们不应该做的事情。

在我擦除该计算机并重新安装之前,我想了解导致安全漏洞的原因以及何时完成。所以我不再打开同一个洞。

我应该查看哪些日志文件?我所知道的唯一在计算机上运行的服务器是sshd和lighttpd。

我该怎么做才能检测出这样的事情是否会再次发生?

最佳答案

首先,确保计算机与任何网络断开连接
其次,确保在再次启动被黑客入侵的操作系统之前从驱动器中获取任何重要数据。

首先检查相关文件的时间戳。它们通常是准确的
如果没有擦除,则使用httpd日志和auth日志交叉引用。如果另一个被擦除,你可以打赌这是进入的手段。如果他们仍然很机智,您可能能够收集有关他们如何从日志中获取的更多信息。

如果他们都被擦掉了,那你就搞砸了。可能需要更多的时间来弄清楚发生了什么而不是它的价值。

你提到这两个服务正在运行,是否有一个好的防火墙来防止其他一切被访问?你在端口22上允许SSH了吗?是你的登录相当容易猜测;你是否允许密码登录;您是否对密码登录有任何实际的速率限制?你有没有安装lighttpd的额外软件; perl的; PHP的; CGI; CMS或类似的?你正在运行所有软件的更新版本;您是否为所运行的所有软件订阅了安全通知,并仔细评估所有通知,看它们是否适用于您向公众开放/向公众开放的软件?

作者:Chris S

相关问答

添加新评论