可能重复:
我的服务器被黑了 紧急求助
所以我注意到我的网络服务器上的某些文件/文件夹,调查显示我的服务器通过 SSH 遭受了暴力攻击(在一个名为 unix 的文件夹中有一个名为 UnixCoD Atack Scanner 的文件,所以我知道它是做什么的,还有另一个包含用户名/密码组合的文件)
我应该调查什么来尝试检测哪些内容已被泄露。我查看了我能找到的唯一 .bash_history 文件,并且只存在我的命令。
在此之前我从未听说过 UnixCoD,我见过 .bash_history 文件但不知道它是什么,所以你可以衡量我的专业水平.....
Cloudflare 等服务Cloudflare 安全功能可以解决一些问题吗?
任何帮助将不胜感激
答案1
绕过 .bash_history 文件非常简单。以下日志值得一看,具体取决于服务器上安装的内容:
- /var/log/消息
- /var/log/auth.log(如果存在)
- /var/log/secure.log(如果存在)
- Apache 错误日志(可能包含有关哪些脚本被调用/利用的线索)
这些文件是在你的 webroot 内部(即你的网站所在的文件夹)还是外部?这也可能为你提供攻击媒介的线索。