一位客户通过电子邮件向我发送了关于他们的提供商将因为 ssh 攻击而关闭服务器的信息。
登录服务器,发现有很多ssh-scan进程,在/tmp中有一些奇怪的文件。我不得不关闭它,因为我不知道该怎么办。在重建服务器之前,有没有办法找出这种情况是如何发生的,以防止它再次发生?
检查网络服务器日志中的错误模式和访问日志。从错误日志开始。与 auth.log 相同,用于暴力登录攻击。如果您只是在 SSH 上使用相同的 Web 应用程序或密码重建服务器,那么只需几天您就会再次遭到黑客攻击。
| 归档时间: |
|
| 查看次数: |
5328 次 |
| 最近记录: |