这是一个创建于 3888 天前的主题,其中的信息可能已经有所发展或是发生改变。
出现这个Last login: Sun Sep 1 00:11:05 2013 from li602-184.members.linode.com
架的是一个普通的wordpressblog.
如果是的话,需要如何防止? 其实我更关心的是他如何做到的.
架的是一个普通的wordpressblog.
如果是的话,需要如何防止? 其实我更关心的是他如何做到的.
5 条回复 • 1970-01-01 08:00:00 +08:00
 |
1
lichao 2013-09-01 18:36:35 +08:00 via iPhone  1
你有没有在 VPN 下 SSH 过你的 VPS ?
|
 |
2
maoyipeng 2013-09-01 18:38:42 +08:00 1
翻翻bash的history,说不定是个菜鸟
|
 |
3
detailyang OP @lichao 我明白了 早上我开了地下铁的VPN ssh到VPS下了..谢谢
|
 |
4
after1990s 2013-09-01 22:33:06 +08:00 1
|
 |
5
blahnice 2013-09-02 11:14:33 +08:00 2
这个问题适合发到知乎。
我简单提下,其实检查是否被黑,实际上就是找痕迹,找异常。可以从几个方面考虑。 1、检查异常管理痕迹,实际上也就是日志了。上面提到的bash_history、mysql_history,who命令,w命令,last,lastlog命令,以及可疑时间的web日志、syslog日志、auth日志等等。 2、检查入侵者可能留下的后门或者改动过的文件(包括系统配置文件、web文件、管理程序等)。网上有不少内容特征检测的脚本,可以去找找。chkrootkit之类也可以用用(机器挂了不要找我),rpm -Vf /sbin/sshd 也可以做验证。如果是webshell的查找,也可以试试我的脚本,https://github.com/wofeiwo/webshell-find-tools 3、检查网络,开启的端口和流量。tcpdump监控一会,看看有没有异常的内容夹杂其中。 以上三步基本ok了。对于绝大部分的小hacker而言,足以检查出很多痕迹了。 但是也别疑心病太重,很多人就是自己被自己吓死的。 |
Select Language