我有一个 Linux VPS,我收到投诉说我的服务器正在扫描其他网络的 22 端口。我如何确定它是否被入侵?
答案1
我今天早些时候回答了一个问题,其中有关于这一方面的建议:
如果你怀疑这可能是你的某个用户所为,并且你的默认 shell 是 bash,你可以通过 grep 来查找.bash_history
。例如:
grep nmap /home/*/.bash_history
值得注意的是,除非您引入方法使其变得更加困难,否则您的用户可以修改历史记录。
答案2
好吧,如果您正在扫描......那还有什么疑问呢?
答案3
你必须跳出思维定式。也就是说,你不能真正相信盒子里的东西。
例如,让您的提供商监控传出流量。您无法解释的流量 => 假设服务器已被入侵。
获取硬盘驱动器的图像(使用可信二进制文件提取)并运行取证。