从Brute Force SSH攻击中排除潜在的受损服务器

Question

可能重复: 我的服务器被黑客入侵

因此，我注意到了我的was服务器上的一些文件/文件夹，并对此进行了调查，发现通过SSH对我的服务器进行了暴力攻击(在名为unix的文件夹中有一个名为UnixCoD Atack Scanner的文件，因此我知道用于添加另一个具有用户名/密码组合的文件)。

我应该调查什么来试图发现什么已经被破坏了。我查看了我能找到的唯一的.bash_history文件，只有我的命令出现了。

在此之前，我从未听说过UnixCoD，我看过.bash_history文件，但不知道它是什么，所以您可以评估我的专业水平……

另外，像Cloudflare 云彩安全特征这样的服务会解决一些问题吗？

如有任何帮助，将不胜感激。

Answer 1

绕过.bash_history文件非常简单。根据服务器上安装的内容，有些日志值得查看：

• /var/log/消息
• /var/log/auth.log (如果存在)
• /var/log/secure.log (如果有)
• Apache错误日志(可能存在调用/利用脚本的线索)

文件是在您的webroot (即您的网站服务的文件夹)还是外部？这也可能给你一个攻击矢量的线索。