1
lichao 2013-09-01 18:36:35 +08:00 via iPhone 1
你有没有在 VPN 下 SSH 过你的 VPS ?
|
2
maoyipeng 2013-09-01 18:38:42 +08:00 1
翻翻bash的history,说不定是个菜鸟
|
3
detailyang OP @lichao 我明白了 早上我开了地下铁的VPN ssh到VPS下了..谢谢
|
4
after1990s 2013-09-01 22:33:06 +08:00 1
|
5
blahnice 2013-09-02 11:14:33 +08:00 2
这个问题适合发到知乎。
我简单提下,其实检查是否被黑,实际上就是找痕迹,找异常。可以从几个方面考虑。 1、检查异常管理痕迹,实际上也就是日志了。上面提到的bash_history、mysql_history,who命令,w命令,last,lastlog命令,以及可疑时间的web日志、syslog日志、auth日志等等。 2、检查入侵者可能留下的后门或者改动过的文件(包括系统配置文件、web文件、管理程序等)。网上有不少内容特征检测的脚本,可以去找找。chkrootkit之类也可以用用(机器挂了不要找我),rpm -Vf /sbin/sshd 也可以做验证。如果是webshell的查找,也可以试试我的脚本,https://github.com/wofeiwo/webshell-find-tools 3、检查网络,开启的端口和流量。tcpdump监控一会,看看有没有异常的内容夹杂其中。 以上三步基本ok了。对于绝大部分的小hacker而言,足以检查出很多痕迹了。 但是也别疑心病太重,很多人就是自己被自己吓死的。 |