其他管理员如何监控他们的服务器以检测任何未经授权的访问和/或黑客攻击?在较大的组织中,更容易让人们解决问题,但在较小的商店中,您如何有效地监控服务器?
我倾向于浏览服务器日志,寻找任何跳出我的东西,但很容易遗漏一些东西。在一个案例中,我们发现硬盘空间不足:我们的服务器被接管为一个 FTP 站点——他们通过弄乱 FAT 表来隐藏文件做得很好。除非您知道文件夹的具体名称,否则它不会在资源管理器、DOS 或搜索文件时显示。
人们正在使用哪些其他技术和/或工具?
我有一台作为测试服务器运行的 linux 机器。我的盒子直接在这台机器上重定向我的端口,比如 80。我创建它来训练所有类型的东西(raid、tcp ......)。
最近我尝试在 VNC 中连接到我的机器,但出现错误“身份验证失败太多”,因此我检查了日志,得到了一个可怕的惊喜;有人试图在 VNC 中通过蛮力连接到我的机器。以下是此日志的简短摘录:
04/01/17 13:53:56 Got connection from client 111.73.46.90
04/01/17 13:53:56 Using protocol version 3.3
04/01/17 13:53:56 Too many authentication failures - client rejected
04/01/17 13:53:56 Client 111.73.46.90 gone
04/01/17 13:53:56 Statistics:
04/01/17 13:53:56 framebuffer updates 0, rectangles 0, bytes 0
04/01/17 13:53:57 Got connection from client 111.73.46.90
04/01/17 13:53:57 Using protocol version 3.3
04/01/17 13:53:57 Too many authentication failures - client rejected
04/01/17 13:53:57 Client 111.73.46.90 gone
04/01/17 13:53:57 Statistics:
04/01/17 …我已经阅读了以下没有回答我的问题的帖子:
-我的 linux 服务器被黑了。我如何知道它是如何以及何时完成的?
-我如何知道我的 Linux 服务器是否被黑客入侵?
- 以及更多...
服务器设置是这样的:
- Ubuntu 服务器在路由器(Cisco EA6500)之后并且没有端口转发(启用了 uPNP)。
- 最愚蠢的想法是让一个用户user使用密码呼叫user。
今天我进入了通过 ssh 连接的 php webeditor 并且没有接受密码。我发现服务器可能已被黑客入侵。
我发现以下内容:
-所有服务器文件的时间戳都更改为我上次登录的日期(今天)
-/dev/shm/- /.ICE-UNIX/update >/dev/null 2>&1 周五添加了一个 cronjob
- ubuntu 启动时出现错误,提示“错误变量 ROOT 未设置”
我做了什么:
- 通过恢复控制台恢复密码
- 设置一个小型防火墙,它尝试进入 ssh。
问题:
- 我怎么知道发生了什么变化?
- 如果没有 ssh 端口暴露,他们是如何进入的?
后来的编辑: 他们保留了完整的日志,我发现他们通过 ssh 输入并更改了密码。过去几周有很多 ssh 登录尝试。我重新安装了系统,移动了端口,安装了防火墙,我正在检查路由器。它肯定有安全漏洞。谢谢你们!