一位客户通过电子邮件向我发送了关于他们的提供商将因为 ssh 攻击而关闭服务器的信息。
登录服务器,发现有很多ssh-scan进程,在/tmp中有一些奇怪的文件。我不得不关闭它,因为我不知道该怎么办。在重建服务器之前,有没有办法找出这种情况是如何发生的,以防止它再次发生?
ssh forensics
forensics ×1
ssh ×1