我读过以下帖子,但它们没有回答我的问题:
-我的 Linux 服务器被黑客入侵了。如何查明入侵过程和时间?
-我如何知道我的 Linux 服务器是否已被黑客入侵?
- 以及更多...
服务器设置如下:
- Ubuntu 服务器位于路由器(Cisco EA6500)之后,并且没有端口转发(已启用 uPNP)。
- 最愚蠢的想法是让用户user
使用密码进行呼叫user
。
今天我进入php webeditor,ssh连接,密码输入不成功,发现服务器可能被黑了。
我发现了以下情况:
-全部服务器文件时间戳更改为我上次登录的日期(今天)
- 有一个 cronjob/dev/shm/- /.ICE-UNIX/update >/dev/null 2>&1
周五添加
- ubuntu 启动时出现错误,提示“错误变量 ROOT 未设置”
我做了什么:
- 通过恢复控制台恢复密码
- 设置小型防火墙其中一些尝试进入 ssh。
问题:
- 我怎么知道发生了什么变化?
- 如果没有 ssh 端口暴露,他们是怎么进入的?
后续编辑: 他们把原木完好无损地留了下来,我发现他们通过 ssh 进入并更改了密码。过去几周尝试了很多次 ssh 登录。我重新安装了系统,移动了端口,安装了防火墙,正在检查路由器。它肯定有安全漏洞。谢谢大家!
答案1
我不再信任那台机器,并会重新安装,甚至可能扫描rootkit(一些rootkit甚至可以在驱动器格式化后存活下来)。
如果您关心安全,我的个人建议是重新开始。