自上周以来,我一直在管理 debian 服务器。它曾经有另一个管理员。
我认为它已被黑客入侵:可能已通过 SFTP 读取文件以获取有关托管在我提到的服务器上的站点的信息,然后通过 PhpMyAdmin 从数据库中删除表。
我将在这里放弃,因为 phpmyadmin 默认情况下不记录活动,而 SFTP 也不记录。服务器的 SFTP 活动和 phpmyadmin 未配置为将数据输出到日志文件。
看似合理的“黑客”犯了一个错误,使用我不知道存在的用户访问服务器,几次通过 SSH!但是我无法再跟踪任何活动,因为他/她足够小心,只能导航到托管站点的文件夹(直接,甚至没有弄乱文件,所以他清楚地知道服务器)其余的活动是通过 phpmyadmin 和 SFTP 进行的。
正如您可能意识到的那样,没有多少人知道服务器上的这个用户,因为它不是 root,而且我有他的 IP 地址,我们都知道这无济于事。
当他/她以其他用户身份登录时,他/她在服务器上所做的只是cd进入站点所在的目录,在那里创建了一个名为“m”的目录,仅此而已;“m”目录被删除了,我没有使用终端删除,入侵者也没有删除。
该文件/etc/ssh/sshd_config现在已配置为跟踪活动,并且可以正常工作,但是不幸的是,这当然为时已晚。
您能否帮我找到一种跟踪 SFTP 活动的方法或任何其他跟踪特定服务器用户活动的方法,而不是执行history通过 SSH 以该用户身份登录的命令?谢谢!
