我的linux服务器被黑了。我如何找出完成的方式和时间？

我有一台运行桌面ubuntu发行版的家庭服务器。我在crontab中找到了这个

* * * * * /home/username/ /.access.log/y2kupdate >/dev/null 2>&1

当在该目录中查找时（用户名/之后的空格是目录名称），我发现很多脚本显然在做他们不应该做的事情。

在擦除那台计算机并重新安装东西之前，我想找出导致此安全漏洞的原因以及完成的时间。因此，我不再打开同一孔。

我应该查看哪些日志文件？我知道计算机上正在运行的唯一服务器是sshd和lighttpd。

我应该怎么做才能检测出这种情况是否再次发生？

首先，确保计算机与任何网络断开连接。
其次，在再次启动被黑客入侵的操作系统之前，请确保从驱动器中获取了重要数据。

首先检查有关文件的时间戳。通常它们是准确的。
如果未清除，则将它们与httpd日志和auth日志交叉引用。如果彼此擦拭，您可以打赌这是进入的手段。如果它们仍然完好无损，您也许可以收集有关它们如何从日志中获取的更多信息。

如果它们都被擦掉了，那您就被搞砸了。弄清楚发生了什么事情可能会花更多的时间，而不是值得的。

您提到这两个服务正在运行，是否有一个良好的防火墙来防止其他所有内容被访问？您是否在端口22上允许SSH？您的登录信息是否易于猜测？您是否允许密码登录？您对密码登录有任何实际的速率限制吗？您在lighttpd上安装了任何其他软件吗？佩尔 php; cgi; CMS还是类似的？您是否正在运行所有软件的更新版本；您是否订阅了所有运行软件的安全通知，并仔细评估了所有通知以查看它们是否适用于您运行/公开的软件？

这本身就是一个话题。您可以在google上搜索linux法医以获得更多信息。基本上，您首先必须为驱动器制作映像以进行脱机分析，然后擦拭计算机并从干净的状态进行安装。

并记住所有杂费。使用计算机的任何人都可能会破坏其密码。更改密码，使其保持脱机状态，等等，直到将其保存在“无尘室”（隔离的VM）中为止。

否则，它会大量检查日志（可以伪造）并检查您的应用程序（php脚本？数据库？是否已针对最新修复程序进行了更新？其他用户给出了密码？）

实际上，没有简单的方法可以回答您的问题，因为您需要在服务器上进行取证工作并检查漏洞。您可以使用一些自动化工具，但请记住，如果攻击者拥有Root特权，那么您将无法再信任系统二进制文件，也无法信任日志。

至于将来的攻击，取决于您要使其安全的程度，可以从将日志重定向到仅用于保存系统日志的系统开始。没有其他访问权限，以减少攻击足迹。

您还需要在系统上运行Tripsum之类的校验和软件，以检查文件的完整性。

当然，请保持最新状态，并运行检查Rootkit的扫描软件。

同样，安全性不是一掷千金。它本身也可以是专业。分层安全性可以像检查不属于您网络的主机/ IP，加密对系统的所有访问权限，将每天在系统上发现的更改日志发送给您以及在网络上设置蜜罐一样严格寻找奇怪的活动（为什么我的服务器试图连接到蜜罐计算机上的端口25？）

首先（如果要检查活动），请获取磁盘映像并重新安装服务器软件。从头开始。服务器的二进制文件不再受信任。

编辑-自从您运行SSH以来，我发生了一些其他事情-安装denyhosts。可以对其进行配置，以便在尝试X次之后，可以锁定针对SSHD的针对系统的自动攻击。还可以将其配置为从“云”中的其他denyhost服务器进行更新，以共享锁定的IP，以帮助最大程度地减少自动攻击。您还可以移动正在监听的端口；许多人指出，这只是通过默默无闻来实现安全性，但是鉴于扫描的漫游器数量，这大大减少了随机闯入的企图。