我的 VPS 提供商告诉我,我的服务器遭受了 ssh 暴力攻击。我已经使用“last”命令检查了会话,但在攻击期间没有活动的根会话。 “lastb”输出显示了很多不成功的尝试。我想有人入侵了我的服务器,如果是这样,如何了解他何时登录,他启动了哪些进程(当然这是一个机器人)?
我今天更改了 root 密码,但之后出现了一个来自未知 IP 地址的新会话,这怎么可能?如果安装了恶意软件,我应该怎么做才能删除所有恶意软件?我想确保我的服务器确实受到了攻击,但不知道如何检查我的 VPS 不成功的 ssh 连接或找到任何其他证据。
我尝试分析会话历史记录,但这没有用。