我相信我的服务器刚刚交互式地被攻破了。
由于这台服务器无论如何都会瘫痪,我想知道是否可以通过强制logging所有tty来更好地了解这个恶棍正在做什么。
几年前,我已经看到了一个内核补丁,就是这样做的,但是我再也找不到它了。 我怀疑,如果这样的补丁存在(我不知道如何写一个)。
最好的是,如果输出不会被本地存储,但转发到我的另一个主机(例如通过HTTP POST,甚至作为netcat)。
我的主机使用3.8主线内核。
我没有内核级拦截补丁,但是这个快速而脏的shell捕获脚本可以放在/etc/profile.d中 :
if [ -z $INSCRIPT ]; then export INSCRIPT=1 DATE=`date "+%Y%m%d%H%M%S"` TTY=`tty | tr "/" "_"` script -qf "/tmp/${DATE}${TTY}.log" && exit fi 这将以/ tmp格式创buildTIMESTAMP_TTY.log文件,并将logging几乎所有的input/输出(包括特殊字符)。 脚本本身并没有宣布感谢安静的标志,但是如果攻击者认为看起来很容易在stream程表中发现。
由于您仍然可以访问系统,因此您可以始终远程检索这些日志,而不是将其推出(将系统configuration为将这些文件推送到远程位置打开攻击者的另一个目标)。