我最近开始使用 Ubuntu,并启用了一些系统的基本访问,例如 ssh 和 sftp,还有一个当有人 ssh 访问我的系统时向我发送电子邮件的脚本。
今天我收到电子邮件触发,有人从远程 IP 地址登录,但登录者不是我。所以我想知道我的系统被入侵的程度有多严重,以及他们做了什么?
如果我现在无法提取该信息,下次我该怎么做才能设置此类日志记录?
请随时提出任何解决方案,因为我是根用户和唯一的用户......
答案1
如果您被黑客入侵,那么这就是一场您与他们的比赛,谁对 Linux 更了解谁就会获胜。
法医学是一个复杂的学科,很遗憾地说,如果你不得不问,那么你很可能处于不利地位。
我的建议是备份数据并重新安装。然后使用强密码并阅读有关强化服务器的说明。
例如,使用 ssh 密钥并禁用密码验证。
看:
https://help.ubuntu.com/community/SSH/OpenSSH/Keys
Google 搜索 Linux 取证
http://www.symantec.com/connect/articles/forensic-analysis-live-linux-system-pt-1