Задать вопрос
@historydev
Редактирую файлы с непонятными расширениями

Каким образом человек может попасть на хакнутый им сервер?

Меня атаковали позавчера, систему сносить и ставить с нуля желания нет, логи пустые.

Изменил пароли, проверил authorized_keys, проверил пользователей - ничего подозрительного не нашёл.

Прокси если стоял бы, по идее ip внешний изменился бы - не изменился, поэтому я в данный момент думаю что у него нет доступа в систему, но порты в сеть пока не открываю.

Что мне стоило бы проверить?
  • Вопрос задан
  • 492 просмотра
Подписаться 2 Простой 19 комментариев
Решения вопроса 1
yesbro
@yesbro
Думаю, помогаю думать
Могли оставить какой-нибудь скрипт, который по запросу из сети выполнить любой заранее заложенный или загруженный в процессе код. Могли майнер оставить. Могли какой-то сервис развернуть. Могли в крон положить скрипт который через Х дней даст доступ по ключу или добавит пользователя. А могли ничего не сделать. Вариантов слишком много :) Проще переустановить. Логи могли и подчистить.
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы