我从 AWS 收到一份滥用报告,其信息如下:* 日志摘录:<<< 从您控制的网络块 (204.236.128.0/17) 连接的 Undernet IRC 聊天网络上存在可疑连接。
日志记录于 2010.Oct.17 11:47:04 PM PDT
[电子邮件保护](坦帕)
[注意-上面的地址确实是我的服务器的]我如何检测是什么接管了我的服务器?
答案1
如果您的机器已被入侵,而您没有为这种情况做好计划,那么您实际上什么也做不了。反思、悔改、重启、重新格式化、重新安装并恢复数据。然后应用所有供应商补丁,使您的系统达到当前规格并强化系统。然后学习如何有效地使用基于主机的 IDS,这样您就可以更轻松地从任何未来的攻击中恢复。然后仔细检查您部署的自定义代码/脚本,并尝试使它们更安全。然后,也许您可以考虑重新打开服务。