У меня Linux VPS, и я получил жалобу, что мой сервер сканирует порт 22 в другой сети. Как узнать, скомпрометирован он или нет?
Сегодня я ответил на вопрос, в котором есть рекомендации в этой области:
Бэкдоры Linux, которых мне следует опасаться
Если вы подозреваете, что это мог быть один из ваших пользователей и ваша оболочка по умолчанию - bash, вы можете использовать grep через .bash_history. Например:
grep nmap /home/*/.bash_history
Примечательно, что ваши пользователи могут изменять историю, если вы не ввели методы, которые усложняют ее.
Вы должны мыслить нестандартно. Например, нельзя действительно доверять тому, что находится внутри коробки.
Например, попросите вашего провайдера отслеживать исходящий трафик. Трафик, который вы не можете объяснить => предположим, что сервер был взломан.
Получите образ жесткого диска (извлеченный с помощью доверенных двоичных файлов) и запустите криминалистику.
Хорошо, если вы БЫЛИ сканировать .... в чем сомнение?