Jene Hackman Asked: 2010-03-10 13:08:48 +0800 CST2010-03-10 13:08:48 +0800 CST 2010-03-10 13:08:48 +0800 CST 如何确定我的服务器是否被入侵? 772 我有一个 linux VPS,我收到投诉说我的服务器正在扫描其他网络的 22 端口。我如何确定它是否被泄露? linux security forensics 3 个回答 Voted Warner 2010-03-10T13:19:44+08:002010-03-10T13:19:44+08:00 我今天早些时候回答了一个在这方面有建议的问题: 我应该警惕的Linux后门 如果您怀疑它可能是您的用户之一并且您的默认 shell 是 bash,您可以通过.bash_history. 例如: grep nmap /home/*/.bash_history 值得注意的是,您的用户可以修改历史记录,除非您引入了使其更加困难的方法。 TomTom 2010-03-10T13:19:29+08:002010-03-10T13:19:29+08:00 好吧,如果您正在扫描....有什么疑问? alex 2010-03-10T14:32:30+08:002010-03-10T14:32:30+08:00 你必须跳出框框思考。就像,你不能真正相信盒子里的东西。 例如,让您的提供商监控传出流量。您无法解释的流量 => 假设服务器已被入侵。 获取硬盘驱动器的映像(使用受信任的二进制文件提取)并运行取证。
我今天早些时候回答了一个在这方面有建议的问题:
我应该警惕的Linux后门
如果您怀疑它可能是您的用户之一并且您的默认 shell 是 bash,您可以通过
.bash_history. 例如:grep nmap /home/*/.bash_history值得注意的是,您的用户可以修改历史记录,除非您引入了使其更加困难的方法。
好吧,如果您正在扫描....有什么疑问?
你必须跳出框框思考。就像,你不能真正相信盒子里的东西。
例如,让您的提供商监控传出流量。您无法解释的流量 => 假设服务器已被入侵。
获取硬盘驱动器的映像(使用受信任的二进制文件提取)并运行取证。