Я думаю, что мой сервер был взломан - как узнать, что было изменено? [дубликат]
На этот вопрос уже есть ответ здесь :
- Как мне поступить с взломанным сервером? 13 ответов
Я прочитал следующие сообщения, которые не ответили на мои вопросы:
- Мой Linux-сервер был взломан. Как мне узнать, как и когда это было сделано?
- Как я узнаю, что мой сервер Linux был взломан?
- и многое другое ...
Настройка сервера была такой:
- сервер Ubuntu был после маршрутизатора (Cisco EA6500) и не имел перенаправления портов (включен uPNP).
- самая глупая идея заключалась в том, чтобы иметь пользователя с именем пользователь с паролем пользователем .
Сегодня я вошел в веб-редактор php, который подключается по ssh, и не принял пароль. Я узнал, что сервер мог быть взломан.
Я обнаружил следующее:
- все временные метки файлов сервера изменены на дату моего последнего входа в систему (сегодня)
- было одно задание cron / dev / shm / - /.ICE-UNIX/update> / dev / null 2> & 1 добавлено в пятницу
- при запуске ubuntu произошла ошибка, в которой говорилось, что «переменная ошибки ROOT не установлена»
Что я сделал:
- восстановил пароль с помощью консоли восстановления
- установил небольшой брандмауэр , который получил несколько попыток войти в ssh.
Вопросы:
- Как мне узнать, что было изменено?
- Как они попали, если не было доступа к порту ssh?
Позже Редактировать: Они оставили журналы нетронутыми, и я обнаружил, что они вошли по ssh и изменили пароль . За последние недели было много попыток входа в систему по ssh. Я переустановил систему, переместил порт, установил брандмауэр и проверяю маршрутизатор. У него определенно есть дыры в безопасности. Спасибо вам всем, !
Я бы больше не доверял этой машине, переустанавливал и, возможно, сканировал бы руткиты (некоторые руткиты даже выживают при форматировании диска)
Если вы заботитесь о безопасности, мой личный совет - перезагружайте заново.