mac*_*ict 0 security ubuntu firewall hacking ubuntu-13.04
我已经阅读了以下没有回答我的问题的帖子:
-我的 linux 服务器被黑了。我如何知道它是如何以及何时完成的?
-我如何知道我的 Linux 服务器是否被黑客入侵?
- 以及更多...
服务器设置是这样的:
- Ubuntu 服务器在路由器(Cisco EA6500)之后并且没有端口转发(启用了 uPNP)。
- 最愚蠢的想法是让一个用户user使用密码呼叫user。
今天我进入了通过 ssh 连接的 php webeditor 并且没有接受密码。我发现服务器可能已被黑客入侵。
我发现以下内容:
-所有服务器文件的时间戳都更改为我上次登录的日期(今天)
-/dev/shm/- /.ICE-UNIX/update >/dev/null 2>&1 周五添加了一个 cronjob
- ubuntu 启动时出现错误,提示“错误变量 ROOT 未设置”
我做了什么:
- 通过恢复控制台恢复密码
- 设置一个小型防火墙,它尝试进入 ssh。
问题:
- 我怎么知道发生了什么变化?
- 如果没有 ssh 端口暴露,他们是如何进入的?
后来的编辑: 他们保留了完整的日志,我发现他们通过 ssh 输入并更改了密码。过去几周有很多 ssh 登录尝试。我重新安装了系统,移动了端口,安装了防火墙,我正在检查路由器。它肯定有安全漏洞。谢谢你们!
我不会再相信那台机器了,我会重新安装并可能扫描 rootkit(有些 rootkit 甚至可以在驱动器格式化后幸免于难)。
如果您关心安全性,我个人的建议是重新启动。
| 归档时间: |
|
| 查看次数: |
1394 次 |
| 最近记录: |