在我的服务器的 cron.logs 中发现这个日志条目,似乎是一次黑客攻击,有什么进一步的建议吗?

在我的服务器的 cron.logs 中发现这个日志条目,似乎是一次黑客攻击,有什么进一步的建议吗?

以下是已执行的日志条目:

mkdir /root/.ssh/;echo "ssh-rsa <some unkown public-key> > /root/.ssh/authorized_keys

我猜我被黑了。有什么清理建议吗(除了更改密码、清理授权密钥)?

答案1

如果机器被入侵,你可以不是信任上面的任何东西,就这样。唯一明智的做法是断开网络,使用救援系统进行完整备份(可能安装系统的媒体可以兼顾这一点)。然后从头开始安装,使当然您已将所有内容更新并妥善保护。更改全部密码,即使是无关的密码,以及你从这台计算机使用的远程站点的密码。如果你需要一些数据,请将其存储起来,仔细检查然后才将其再次放在靠近电脑的地方。

您可能希望保存原始磁盘(或映像)法医趣味...

相关内容