我相信我被黑了

我相信我被黑了

我最近开始使用 Ubuntu,并启用了一些系统的基本访问,例如 ssh 和 sftp,还有一个当有人 ssh 访问我的系统时向我发送电子邮件的脚本。

今天我收到电子邮件触发,有人从远程 IP 地址登录,但登录者不是我。所以我想知道我的系统被入侵的程度有多严重,以及他们做了什么?

如果我现在无法提取该信息,下次我该怎么做才能设置此类日志记录?

请随时提出任何解决方案,因为我是根用户和唯一的用户......

答案1

如果您被黑客入侵,那么这就是一场您与他们的比赛,谁对 Linux 更了解谁就会获胜。

法医学是一个复杂的学科,很遗憾地说,如果你不得不问,那么你很可能处于不利地位。

我的建议是备份数据并重新安装。然后使用强密码并阅读有关强化服务器的说明。

例如,使用 ssh 密钥并禁用密码验证。

看:

https://help.ubuntu.com/community/SSH/OpenSSH/Keys

Google 搜索 Linux 取证

http://www.symantec.com/connect/articles/forensic-analysis-live-linux-system-pt-1

相关内容