Как узнать, если мой сервер скомпрометирован?
У меня есть Linux VPS, и я получил жалобу, что мой сервер сканировал на порт 22 какой-то другой сети. Как я узнаю, был ли он скомпрометирован или нет?
3 ответа
Ранее сегодня я ответил на вопрос, в котором есть рекомендации в этой области:
Бэкдоры Linux я должен быть осторожен
Если вы подозреваете, что это мог быть один из ваших пользователей, а ваша оболочка по умолчанию - bash, вы можете выполнить .bash_history, Например:
grep nmap /home/*/.bash_history
Примечательно, что ваши пользователи могут изменять историю, если вы не ввели методы, чтобы сделать ее более сложной.
Вы должны мыслить нестандартно. Например, вы не можете доверять тому, что находится внутри коробки.
Например, попросите вашего провайдера отслеживать исходящий трафик. Трафик, который вы не можете объяснить => предположить, что сервер был взломан.
Получите образ жесткого диска (извлеченный с использованием надежных двоичных файлов) и запустите экспертизу.