我如何才能知道我的 VPS 是如何被入侵的?

我如何才能知道我的 VPS 是如何被入侵的?

我有一个 VPS,运行的是 Ubuntu。
最近我发现这个 VPS 被黑客入侵了,有人在 VPS 上托管的所有网站上放置了一个脚本。

Sucuri 说这是 MW:SPAM:SEO。我清理了 VPS,但我想知道 VPS 是如何被入侵的!

VPS 上唯一开放的端口是 22 和 80。
我已禁用 SSH 的密码验证,仅使用公钥验证,并且我是唯一有权访问 VPS 的人。

有什么方法我可以了解此事吗?

编辑

大多数 Web 应用程序都是 Wordpress 实例。我正在使用带有 php5-fpm 的 Nginx。

答案1

SSH 身份验证尝试通常存储在 /var/log/auth.log 文件中。因此,如果攻击者通过 SSH 获得访问权限,那么其中可能有一些有用的东西。

不过,最有可能的是,您的某个 Web 应用程序中存在漏洞,导致攻击者可以访问。现在您没有提到您使用的 Web 服务器堆栈,也没有提到您运行的应用程序类型,因此很难具体说明。但一般来说,您应该仔细检查 Web 服务器日志并查找可疑条目。

如果你运行 WordPress 之类的程序,你应该确保它是最新的,并更新所有插件。对于 WordPress 来说,通常一个编写糟糕的插件会让攻击者控制你的服务器。

相关内容