Назад | Перейти на главную страницу

Устранение неполадок с потенциально взломанным сервером из-за атаки SSH методом грубой силы

Возможный дубликат:
Мой сервер был взломан в АВАРИИ

Итак, я заметил некоторые файлы / папки на моем веб-сервере, и расследование приводит к тому факту, что на моем сервере была проведена атака методом грубой силы через SSH (в папке с именем unix есть файл под названием UnixCoD Atack Scanner, поэтому я знаю, для чего плюс еще один файл с комбинациями имени пользователя и пароля)

Что мне следует исследовать, чтобы попытаться обнаружить то, что было взломано. Я просмотрел единственный файл .bash_history, который смог найти, и там присутствуют только мои команды.

До этого я никогда не слышал о UnixCoD, я видел файл .bash_history, но не знал, что это такое, так что вы можете оценить мой уровень знаний ...

Также был бы такой сервис, как Cloudflare Функции безопасности Cloudflare быть решением некоторых проблем?

Любая помощь будет оценена

Обойти файл .bash_history очень просто. Некоторые журналы, которые стоит посмотреть, в зависимости от того, что установлено на вашем сервере:

  • / var / log / сообщения
  • /var/log/auth.log (если есть)
  • /var/log/secure.log (если есть)
  • Журналы ошибок Apache (могут быть подсказки по поводу того, какие скрипты могли быть вызваны / использованы)

Находятся ли файлы внутри вашего корневого веб-сайта (т.е. папки, из которой обслуживается ваш веб-сайт) или снаружи? Это также может дать вам ключ к пониманию вектора атаки.