我刚刚开始使用 SSH,我的服务器被黑客入侵了,有人进入了我的网站并进行了修改。我知道他们做这件事的时间(2013 年 7 月 29 日 18:14:30),但看不到他们是如何进入网站的。
我已经尝试过 tail /var/log/messages 和 tail /var/log/secure,但此时看不到任何活动。
我只是想知道他们是否通过控制面板/ssh/ftp 来访,以便我可以更改密码并更改端口来阻止他们。
任何帮助是极大的赞赏。
谢谢
答案1
我很肯定他们不会通过 ssh 入侵或修改您的网站,除非您有可预测的用户名和密码,或者一些被盗用的帐户。
相反,我会深入研究您的 Web 服务器(Apache、nginx、lighttpd)日志文件,并尝试在黑客入侵时查找可疑活动。攻击者可能利用了某些 CMS 中已知的弱点,例如通过某种形式上传文件,并以某种方式执行该文件以赋予用户更多权限。或者只是通过一些精心制作的奇怪 URL 进入,使您的 CMS 遭受 SQL 注入或类似攻击。
所以看一下/var/log/apache2/access.log左右。