Я новичок в использовании SSH, и мой сервер был взломан, кто-то зашел на мой веб-сайт и внес изменения. У меня есть время, когда они это сделали (29.07.2013 18:14:30), но не вижу, как они заходят на сайт.
Я пробовал tail / var / log / messages и tail / var / log / secure, но в настоящее время не вижу никакой активности.
Я просто хочу знать, пришли ли они через панель управления / ssh / ftp, чтобы я мог изменить пароли и, возможно, порты, чтобы остановить их.
Любая помощь приветствуется.
Спасибо
Я почти уверен, что они не взломали или не изменили ваш сайт через ssh, если у вас нет предсказуемых имен пользователей и паролей или каких-либо других скомпрометированных учетных записей.
Вместо этого я бы внимательно посмотрел на файлы журналов вашего веб-сервера (Apache, nginx, lighttpd) и попытался бы обнаружить подозрительную активность во время взлома. Вероятно, злоумышленник использовал известную уязвимость в некоторых CMS и, например, загрузил файл через какую-либо форму и каким-то образом выполнил его, чтобы дать пользователю больше возможностей. Или просто получил несколько тщательно созданных странных URL-адресов, подвергающих вашу CMS SQL-инъекциям или аналогичным.
Так что взгляни на /var/log/apache2/access.log или так.