我感觉我的服务器(ubuntu 10.4)好像被攻击了。我是个 Linux 菜鸟。
我运营一个网站,mysql 的一些数据被删除了。这种情况已经发生过三次了。
- 今天东部时间下午 2:00 之前,身份验证日志是空的。在我登录之前,只显示几个正在运行的 cronjob。数据在东部时间晚上 7 点到 10 点之间消失。
- 我从未安排过任何 cronjob。一定有自动的吗?
- mysql 错误日志已被清除。
- 我使用密码登录——我想这是一个明显的错误。
有什么建议吗?我已经清理了用户提交的 SQL 注入数据。MySQL 无法远程使用。我想是时候切换到 ssh 访问密钥了。
答案1
您的数据是否可以通过您的网站进行修改/删除?如果可以,是否可以通过 GET 请求进行修改,还是只能通过 PUT / POST / DELETE 进行修改?您的网站是否与任何地方链接?如果您的网站与某个地方链接,并且您的网页使用“GET”等被视为非变异的操作来执行变异操作,则网络爬虫可能会偶尔偶然发现删除链接。解决此问题的一种方法是仅使用 PUT / POST / DELETE 进行变异操作,或者使用“robots.txt”文件保护这些链接。无论原因如何,如果您的密码相当弱,使用更好的密码是相当明显的选择。当然,为您的服务器和网站选择一个强大而安全的密码不会让您的情况变得更糟。
答案2
是的,将会运行标准 cronjobs...其中一个会轮换您的日志文件。您是否查找过 error.log.1 或 access.log.1?