我正在尝试诊断最近发生的意外重启,我只是好奇这是否可能。
答案1
一般来说,是的:如果您有一个可以导致以 root 权限执行远程代码的缺陷,那么您就可以这样做。
事实上,特定的缺陷可能不会导致远程代码执行,但仍会导致内核崩溃和服务器重启。
但是,考虑到您提出问题的方式,我怀疑您是否有必要的知识对系统进行事后分析以检测此类攻击:如果您真的想检查系统,我建议您聘请安全专家。
答案2
您需要 root 权限才能重启 Linux 服务器。如果您的 root 帐户被盗用并且您启用了 ssh,那么其他人完全有可能远程重启您的服务器。根据这个问题的质量判断,如果这会影响生产系统,我强烈建议您聘请一位具有启示经验的顾问。
答案3
是的,但我建议您暂时不要考虑这一点。
大多数攻击者入侵服务器的原因如下:
- 对其他受感染的服务器执行 DOS 攻击或 C&C。
- 托管侵犯版权的内容。
- 通过破坏网站来发表政治或社会声明。
- 对远程服务器和客户端执行额外的攻击。
对于大多数攻击者来说,仅仅为了重启服务器并没有真正的好处。虽然这是可能的,但考虑到大多数入侵者的动机,有可能问题是其他的——要么是托管服务提供商的维护,要么是停电,或者在更糟糕的情况下,有人意外重启了机器,却没有承认。:)
答案4
当然有可能。查看/var/log/auth.log是否有可疑日志。