我们怀疑我们的一台 CentOS 服务器已被入侵,因为有人意外挂载了一个文件系统(它是一个我们不再使用的旧空分区,位于 home/unusual_name 目录名中。我们认为有人挂载它是为了检查里面有什么内容,然后忘记了下马)
.bash_history 和 /var/log/messages 中都没有安装命令跟踪。
我们有几个登录听觉,因此我们可以使用这些时间戳来了解是否可以捕获谁挂载了该文件系统,但是我们如何知道该文件系统何时挂载呢?
问候
答案1
正如 Andrew Henle 评论的那样,这个问题已经在 superuser.com 问题中得到了回答: