我有一台服务器,它运行 Debian Lenny 已经过时了,是的,我知道这可能是问题的一半。它还具有 PHPMyAdmin 和 ProFTPd。再次,我明白了,所有不好的迹象。
但在我的一生中,我无法弄清楚这个用户是如何登录、添加文件和执行命令的。
他们能够启动screen会话,输入诸如此类的内容nano file.sh,然后创建脚本并./file.sh执行它。这是否意味着他们有 SSH 访问权限?我不明白。
我检查了我所有的日志文件,没有任何地方显示成功的身份验证。我检查users,who,last,每一个小命令我可以输入-什么节目被记录在别人的任何迹象。
时不时地,我注意到他们创建了新目录并且所有者是500或1XXX,但是当我查找它们时这些帐户没有出现。
我能做些什么来弄清楚wtf正在发生吗?我们将把服务器擦干净,不要误会我的意思,但我想知道到底发生了什么,以便将来避免此类问题。
我不想要任何关于“不要使用 phpmyadmin、旧的不受支持的发行版、ftp 等”的建议,在我们的新服务器上,我们不会有任何不安全的东西,并且将使用密码 SSH Auth 密钥等。
我只是想了解一下我如何知道用户何时登录以及他们从哪里登录。当然,我可能没有提供足够的信息,但也许某些东西会为某人点击?谢谢。