1. Проверка авторизаций по SSH:
— Логи авторизаций по SSH обычно хранятся в файле /var/log/auth.log. Вы можете использовать команду grep для поиска специфической информации, например: grep sshd /var/log/auth.log
2. Проверка авторизаций по FTP (ProFTPd):
— Проверьте /var/log/proftpd/proftpd.log.
3. Просмотр всех команд, которые вводились пользователями по SSH:
— По умолчанию, Bash не сохраняет историю команд на уровне системы. Однако вы можете просмотреть историю команд конкретного пользователя, просмотрев файл истории в его домашнем каталоге, например cat /home/username/.bash_history.
4. Смена пароля рут пользователя:
— Используйте команду passwd как root: sudo passwd root
5. Блокировка пользователя SSH:
— Вы можете отключить SSH для конкретного пользователя, добавив его имя в файл /etc/ssh/sshd_config с параметром DenyUsers. Например, DenyUsers bob.
При подозрении на взлом, есть несколько вещей, на которые стоит обратить внимание:
1. Проверьте системные логи: /var/log/auth.log, /var/log/syslog, и /var/log/messages на наличие подозрительной активности.
2. Проверьте последние входы в систему: используйте команду last для просмотра истории входов в систему.
3. Проверьте запущенные процессы: команды top или htop покажут вам текущие процессы. Если вы видите неизвестные процессы, это может быть признаком взлома.
4. Проверьте открытые сетевые соединения: netstat -tuln покажет все открытые сетевые соединения. Следует обратить внимание на неожиданные и неизвестные соединения.
5. Проверьте изменения в важных системных файлах: Вы можете использовать систему контроля целостности, такую как AIDE или Tripwire, которая уведомит вас об изменениях в важных системных файлах.
6. Проверьте пользователей и группы: убедитесь, что нет неожиданных пользователей или групп в системе.
7. Проверьте планировщик задач cron: Некоторые атаки могут оставить задания в cron для постоянной деятельности.
8. Проверьте ваши файлы конфигурации: Проверьте конфигурации для ваших служб, чтобы убедиться, что они не были изменены для обеспечения несанкционированного доступа.
Помните, что если ваш сервер был взломан, наиболее безопасным решением является полное переустановка системы после архивирования важных данных. Это гарантирует, что все злонамеренные изменения, которые были сделаны, будут удалены.