我有一台服务器,它运行 Debian Lenny 已经过时了,是的,我知道这可能是问题的一半。它还具有 PHPMyAdmin 和 ProFTPd。再次,我明白了,所有不好的迹象。
但在我的一生中,我无法弄清楚这个用户是如何登录、添加文件和执行命令的。
他们能够启动screen会话,输入诸如此类的内容nano file.sh,然后创建脚本并./file.sh执行它。这是否意味着他们有 SSH 访问权限?我不明白。
我检查了我所有的日志文件,没有任何地方显示成功的身份验证。我检查users,who,last,每一个小命令我可以输入-什么节目被记录在别人的任何迹象。
时不时地,我注意到他们创建了新目录并且所有者是500或1XXX,但是当我查找它们时这些帐户没有出现。
我能做些什么来弄清楚wtf正在发生吗?我们将把服务器擦干净,不要误会我的意思,但我想知道到底发生了什么,以便将来避免此类问题。
我不想要任何关于“不要使用 phpmyadmin、旧的不受支持的发行版、ftp 等”的建议,在我们的新服务器上,我们不会有任何不安全的东西,并且将使用密码 SSH Auth 密钥等。
我只是想了解一下我如何知道用户何时登录以及他们从哪里登录。当然,我可能没有提供足够的信息,但也许某些东西会为某人点击?谢谢。
大多数脚本化和手动闯入会执行以下操作:
有时,这些攻击是错误的,确实会留下痕迹。但无论如何:您不能信任系统上的任何诊断工具。
如果您想玩玩并学习,您可以:
例如,安装并运行 'rkhunter' [*],它会检查已知的 rootkit,但如果没有:
从救援 CD/USB 启动
tl;dr: 在这样一个开放系统上找出攻击向量几乎是不可能的。不管怎样:
请负责并尽快将系统从互联网上撤下并重新设置。
[*] 或其他IDS系统,有很多。
| 归档时间: |
|
| 查看次数: |
164 次 |
| 最近记录: |