编辑:

编辑:

我正在使用 Ubuntu 10.04。一名未知人员使用 postgres 用户帐户通过 SSH 多次登录。

我很难找到具有任何相关活动的日志,可能是因为这些日志正在被清理???


我需要帮助记录此人的活动,这样我才能了解此人做了什么或正在做什么?

帮助将会非常棒,谢谢。


编辑:

我可以为这个人下次登录设置什么陷阱吗?我不介意让服务器保持原样,只是为了找出这个人的活动。

有什么想法吗?=)

答案1

第一步:让服务器离线,关闭它,然后克隆硬盘。进行取证工作时,只使用此克隆硬盘,不要触碰原始硬盘。

您应该能够将克隆驱动器放入另一个系统,安装它,然后开始四处查看用户做了什么。我首先要检查的是用户的~/.bash_history,如果有的话。大多数聪明的黑客在完成工作后会删除此文件,但它可能仍然存在。如果这不起作用,那么您真正需要做的就是查看 /var/log 中的日志消息。您可以尝试运行rkhunter系统,但在我看来,这并不值得,因为您已经知道这个系统已被入侵。根据这个用户的精明程度,您可能永远不知道他们实际上做了什么。

如果我是你,我会完全重新安装系统并从已知良好的备份中恢复。这是确保系统没有受到损害的唯一方法。此外,当你启动新系统时,请帮自己一个忙,关闭PasswordAuthentication文件/etc/ssh/sshd_config并改用密钥身份验证。通过这样做,你将很多从而免受此类恶意活动的侵害。

答案2

第一部分(该怎么做):正如 ErikA 所写。您确定系统已受到威胁,因此正确的做法是将其脱机。

第二部分(设置陷阱):在主机上你能做的并不多,因为在主机上做任何事情都可能让入侵服务器的人感到惊慌。由于你使用的是 SSH,因此从上游嗅探数据包以从那里恢复会话也并非易事。我个人会忽略这一点,并遵循 ErikA 所写的内容(关闭服务器;克隆磁盘;如果需要进行取证调查,请使用克隆的数据;安装新服务器;保护新服务器;从已知良好的备份中恢复数据)。

相关内容