我从上周开始管理一个 Debian 服务器。它以前有另一个管理员。
我推测它已被黑客入侵:可能通过 SFTP 读取文件以获取有关我提到的服务器上托管的站点的信息,然后通过 PhpMyAdmin 从数据库中删除表。
我打算放弃,因为 phpmyadmin 默认不记录活动,SFTP 也不记录。服务器的 SFTP 活动和 phpmyadmin 未配置为将数据输出到日志文件。
这位可信的“黑客”犯了一个错误,他通过 SSH 多次以我不认识的用户身份访问服务器!但是我无法跟踪更多活动,因为他/她非常小心,只导航到托管网站的文件夹(直接导航,甚至没有翻看文件,所以他显然知道服务器),其余活动都是通过 phpmyadmin 和 SFTP 进行的。
您可能已经意识到,服务器上没有多少人知道这个用户,因为他不是 root,而且我知道他的 IP 地址,但我们都知道这不会有太大帮助。
当以其他用户身份登录时,他在服务器上所做的一切就是cd
进入网站所在的目录,在那里创建一个名为“m”的目录,仅此而已;“m”目录被删除了,它不是我使用终端删除的,也不是入侵者删除的。
该文件/etc/ssh/sshd_config
现已配置为跟踪活动并可以运行,但不幸的是,当然有点太晚了。
history
除了通过 SSH 执行以该用户身份登录的命令之外,您能否帮助我找到一种跟踪 SFTP 活动的方法或任何其他跟踪特定服务器用户活动的方法?谢谢!
答案1
无法跟踪 SFTP 活动。
不幸的是,我找不到有关攻击后所做的更改之前的 SFTP 活动的信息。但是,Apache 日志在这里非常有用,而且由于本地互联网提供商不会经常更改公共 IP,因此我们能够确定我提到的丢失的表是由同一 IP 地址创建的,并且我们还知道用于执行查询的设备。
但毕竟我们甚至不需要建造时间机器……
任何遇到类似情况的人都会检查 Apache 日志,找出恶意活动发生的方式/时间的关键信息,并知道是谁做的。