我已经阅读了以下没有回答我的问题的post:
– 我的linux服务器被黑客入侵 我如何知道如何以及何时完成?
– 如何知道我的Linux服务器是否被黑客入侵?
– 以及更多…
服务器设置是这样的:
– Ubuntu服务器是在路由器(Cisco EA6500)之后,没有端口转发(启用了uPNP)。
– 最愚蠢的想法是有一个用户密码user称为user 。
今天,我进入了PHP的webeditor通过SSH连接,并没有接受密码。 我发现服务器可能已被黑客入侵。
我发现如下:
– 所有的服务器文件时间戳更改为我上次的logindate(今天)
– 有一个cronjob /dev/shm/- /.ICE-UNIX/update >/dev/null 2>&1 添加了星期五
– 在ubuntu启动时出现错误,提示“错误variablesROOT未设置”
我做了什么:
– 通过恢复控制台恢复密码
– build立一个小型的防火墙 , 试图进入ssh。
问题:
– 我如何知道改变了什么?
– 如果没有ssh端口暴露,他们是怎么进来的?
后来编辑:他们已经完整的离开了日志,我发现他们通过SSHinput并更改了密码。 过去几周里有很多sshlogin尝试。 我已经重新安装了系统,移动了端口,安装了防火墙,我正在检查路由器。 它肯定有安全漏洞。 谢谢你们!
我不会再相信这台机器了,而且会重新安装,并且可能会扫描rootkit(有些rootkit甚至可以在驱动器的格式化中生存)。
如果你关心安全,我个人的build议是重新启动。