背景:
我正在运行带有 WHM/cPanel 的专用服务器,我想知道要备份什么。我的旧 VPS 被黑客入侵,使用的是TimThumb 中的安全漏洞我无法追溯是谁做的,因为日志偶尔会被删除,而且在我可以分析它之前已经过去了一段时间,日志已经消失了。
在我的新服务器上(希望是安全的:),我希望定期备份日志和一切我需要的东西,以便追踪在我的服务器上执行恶意命令和 Web 请求的人。
问题:
- 我需要备份什么来跟踪 http 事件、SSH 连接等内容?
- 这些文件到底位于何处?
- 是否有一种自动的方法来复制文件或进行备份?
请就这项任务给我提供意见。
谢谢
答案1
对于 httpd 服务 Apache,您可以备份日志文件(通常在/var/log/httpd或中找到) /var/log/apache。
对于 SSH 登录,您可以检查日志文件:/var/log/auth(.log),/var/log/secure(.log)也可以通过执行将命令转储last到“日志”文件中进行备份last > /var/log/ssh_logins。
您可以通过 cron 和自定义备份脚本自动备份这些文件,或者使用类似rsync或苦行僧