V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
detailyang
V2EX  ›  Linux

如何知道VPS是不是被黑了?

  •  
  •   detailyang ·
    detailyang · 2013-09-01 18:30:39 +08:00 · 6800 次点击
    这是一个创建于 4102 天前的主题,其中的信息可能已经有所发展或是发生改变。
    出现这个Last login: Sun Sep 1 00:11:05 2013 from li602-184.members.linode.com
    架的是一个普通的wordpressblog.
    如果是的话,需要如何防止? 其实我更关心的是他如何做到的.
    5 条回复    1970-01-01 08:00:00 +08:00
    lichao
        1
    lichao  
       2013-09-01 18:36:35 +08:00 via iPhone   ❤️ 1
    你有没有在 VPN 下 SSH 过你的 VPS ?
    maoyipeng
        2
    maoyipeng  
       2013-09-01 18:38:42 +08:00   ❤️ 1
    翻翻bash的history,说不定是个菜鸟
    detailyang
        3
    detailyang  
    OP
       2013-09-01 18:54:16 +08:00
    @lichao 我明白了 早上我开了地下铁的VPN ssh到VPS下了..谢谢
    after1990s
        4
    after1990s  
       2013-09-01 22:33:06 +08:00   ❤️ 1
    blahnice
        5
    blahnice  
       2013-09-02 11:14:33 +08:00   ❤️ 2
    这个问题适合发到知乎。
    我简单提下,其实检查是否被黑,实际上就是找痕迹,找异常。可以从几个方面考虑。

    1、检查异常管理痕迹,实际上也就是日志了。上面提到的bash_history、mysql_history,who命令,w命令,last,lastlog命令,以及可疑时间的web日志、syslog日志、auth日志等等。
    2、检查入侵者可能留下的后门或者改动过的文件(包括系统配置文件、web文件、管理程序等)。网上有不少内容特征检测的脚本,可以去找找。chkrootkit之类也可以用用(机器挂了不要找我),rpm -Vf /sbin/sshd 也可以做验证。如果是webshell的查找,也可以试试我的脚本,https://github.com/wofeiwo/webshell-find-tools
    3、检查网络,开启的端口和流量。tcpdump监控一会,看看有没有异常的内容夹杂其中。


    以上三步基本ok了。对于绝大部分的小hacker而言,足以检查出很多痕迹了。

    但是也别疑心病太重,很多人就是自己被自己吓死的。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5559 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 07:50 · PVG 15:50 · LAX 23:50 · JFK 02:50
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.