Kri*_*ris 3 security linux hacking
所以我设置了一个 linux 服务器,但忘记禁用明文 ssh 密码或安装拒绝主机或启用任何类型的密码策略。通常我拒绝主机并且它运行良好。由于错过了这一重要步骤(是的,我应该自动执行此过程),因此密码较弱的用户遭到了黑客攻击。现在假设一般权限很好,我该怎么做才能弄清楚他们做了什么并将其删除?
顺便说一下,我本质上是一名程序员,而不是系统管理员,所以请善待!
您永远无法完全确定他们在用户帐户上做了什么。但是开始的地方是主目录中的 .*history 文件。
我的建议是复制已知的好/重要数据,然后将其余数据吹走。入侵者可能会在配置文件、.bashrc 等中留下任何令人讨厌的惊喜。
您还应该检查用户拥有的任何文件是否在系统上并查找正在运行的进程:
# find / -user USERNAME
# ps -a -u USERNAME
对于未来,我建议打开流程会计。然后,您可以使用“lastcomm”检查以前运行的命令。
| 归档时间: |
|
| 查看次数: |
1499 次 |
| 最近记录: |