Jon*_*lus 10 security linux ubuntu hacking forensic-analysis
我有一台运行桌面 ubuntu 发行版的家庭服务器。我在我的 crontab 中找到了这个
* * * * * /home/username/ /.access.log/y2kupdate >/dev/null 2>&1
在查看该目录时(username/ 后面的空格是目录名),我发现了很多脚本,它们显然在做一些他们不应该做的事情。
在我擦除那台计算机并重新安装东西之前,我想找出导致安全漏洞的原因以及何时完成。所以我不会再打开同一个洞。
我应该查看哪些日志文件?我知道在计算机上运行的唯一服务器是 sshd 和 lighttpd。
我应该怎么做才能检测是否再次发生这样的事情?
首先,确保计算机已与任何网络断开连接。
其次,确保在再次启动被黑客攻击的操作系统之前从驱动器中获取所有重要数据。
首先检查相关文件的时间戳。它们通常是准确的。
如果未擦除,则将其与 httpd 日志和 auth 日志进行交叉引用。如果其中一个被抹掉,你可以打赌这就是进入的方式。如果它们仍然完好无损,您也许能够从日志中收集有关它们如何进入的更多信息。
如果它们都被抹掉了,那你就完蛋了。弄清楚发生了什么可能会花费比其价值更多的时间。
您提到这两项服务正在运行,是否有良好的防火墙来防止其他所有服务被访问?您是否允许端口 22 上的 SSH;您的登录信息是否很容易被猜到;您是否允许密码登录;您对密码登录有任何实际速率限制吗?您是否随 lighttpd 安装了任何其他软件?珀尔;php;计算机图形图像处理;CMS 或类似的?您是否正在运行所有软件的更新版本?您是否订阅您运行的所有软件的安全通知,并仔细评估所有通知,看看它们是否适用于您运行/向公众公开的软件?
| 归档时间: |
|
| 查看次数: |
7230 次 |
| 最近记录: |