Как я могу узнать, как проник мой VPS?

Question

Как я могу узнать, как проник мой VPS?

У меня есть VPS под управлением Ubuntu.
Недавно я узнал, что VPS был взломан, и кто-то поместил скрипт на все сайты, размещенные на VPS.

Сукури говорит, что это MW: СПАМ:SEO. Я очистил VPS, но мне интересно, как проник VPS!

Единственные открытые порты на VPS - 22 и 80.
Я отключил аутентификацию пароля для SSH и использую только аутентификацию с открытым ключом, и я единственный, кто имеет доступ к VPS.

Могу ли я узнать об этом?

РЕДАКТИРОВАТЬ

Большинство веб-приложений являются экземплярами Wordpress. Я использую Nginx с php5-fpm.

1

server ssh hacking

Источник

Omid Kamangar 13 фев '17 в 09:55

1 ответ

Другие вопросы по тегам server ssh hacking

Lochnair 13 фев '17 в 10:45 2017-02-13 10:45 · Answer 1 · 2017-02-13 10:45

Попытки аутентификации SSH обычно хранятся в файле /var/log/auth.log. Так что там может быть что-то полезное, если злоумышленник получит доступ через SSH.

Скорее всего, это уязвимость в одном из ваших веб-приложений, которая позволяет злоумышленнику получить доступ. Теперь вы не упоминаете, какой стек веб-серверов вы используете, или какие приложения вы запускаете, поэтому сложно быть конкретным. Но в целом вы должны пролистывать логи веб-сервера и искать подозрительные записи.

И если вы запускаете такие вещи, как WordPress, вы должны убедиться, что он обновлен, и обновить все плагины. В случае WordPress это часто плохо написанный плагин, который позволяет злоумышленнику получить контроль над вашим сервером.