所以我设置了
一个
linux服务器,忘了禁用明文ssh
密码或安装denyhosts或启用任何类型的
密码策略.通常我拒绝主机,它运作良好.由于缺少这一重要步骤(是的,我应该
自动化该过程),
密码较弱的
用户遭到黑客入侵.现在假设一般权限是好的我能做些什么来弄清楚他们做了什么并将其
删除?
顺便说一句,我本质上是程序员而不是系统管理员,所以请善待!
您永远无法完全确定他们在
用户帐户上执行的操作.但是要开始的地方是主目录中的.*历史
文件.
我的建议是复制已知的好/重要数据,然后把剩下的数据吹走.入侵者可能在配置文件,.bashrc等中留下任何令人讨厌的意外.
您还应该检查用户拥有的任何文件是否在系统上并查找正在运行的进程:
# find / -user USERNAME
# ps -a -u USERNAME
对于未来,我建议启用流程会计.然后,您可以使用’lastcomm’检查以前运行的命令.
