发现 root 密码已更改。有人闯入我的服务器了吗?

发现 root 密码已更改。有人闯入我的服务器了吗?

今天早上,我发现自己无法登录我的一台(CentOS 6)服务器上的 root 帐户。我启动到单用户模式并重置了 root 密码。现在一切似乎都正常了。

我有许多监控指标来监控此服务器的行为,没有发现任何恶意活动的证据。但是,如果不完全重新安装操作系统,我不确定是否可以信任此服务器的安全性。

  • 我可以采取什么步骤来诊断这个问题的原因?
  • 理论上,可能有人对我的机器拥有 root 访问权限。有什么方法可以排除这种可能性吗?

答案1

您可能只是忘记了密码,我就遇到过这种情况。:-)

如果您的服务器被入侵,那么您就不能信任存储在其上的数据或代码。也许您有一些外部日志记录工具,例如:

  • 远程系统日志服务器,
  • 记录连接的防火墙设备,
  • 或者甚至只是一个记录连接的管理型交换机?

我会毫不犹豫地重新安装这台机器。同时尝试配置远程日志记录位置;您可以使用其中一台服务器来实现这一点。我建议阅读一些有关配置可能性(如可用协议)的内容;这似乎是一份很好的知识汇总:

https://www.loggly.com/ultimate-guide/managing-linux-logs/

相关内容