Eu tenho um VPS Linux e recebi uma reclamação de que meu servidor estava fazendo a varredura na porta 22 de alguma outra rede. Como descubro se foi comprometida ou não?
Eu respondi uma pergunta hoje cedo que tem recomendações nesta área:
backdoors do Linux eu deveria ser cauteloso
Se você suspeitar que pode ter sido um de seus usuários e seu shell padrão é bash, você pode percorrer o .bash_history . Por exemplo:
grep nmap /home/*/.bash_history
É notável que seus usuários possam modificar o histórico, a menos que você tenha introduzido métodos para torná-lo mais difícil.
Bem, se você estava digitalizando ... qual é a dúvida?
Você precisa pensar fora da caixa. Como em, você não pode realmente confiar no que está dentro da caixa.
Por exemplo, faça com que seu provedor monitore o tráfego de saída. Tráfego que você não pode explicar = > suponha que o servidor tenha sido comprometido.
Obtenha uma imagem do disco rígido (extraída usando binários confiáveis) e execute a análise forense.