(5)攻击者在完成攻击后,通过后门程序自动清理了系统访问日志,毁灭了证据 。
通过对这个入侵过程的分析,发现入侵者的手段还是非常简单和普遍的,虽然入侵者删除了系统的一些日志,但是还是留下了很多可查的踪迹,其实还可以查看用户下的.bash_history文件,这个文件是用户操作命令的历史记录 。
7、如何恢复网站
由于系统已经文件被更改和替换,此系统已经变得完全不可信,因此建议备份网站数据,重新安装系统,基本步骤如下:
(1)安装稳定版本的操作系统,删除系统默认的并且不需要的用户 。
(2)系统登录方式改为公钥认证方式,避开密码认证的缺陷 。
(3)安装更高版本的apache和最新稳定版本的Awstats程序 。
(4)使用linux下的Tcp_Wrappers防火墙,限制ssh登录的源地址 。
本文完 。
推荐阅读
- python 中日志异步发送到远程服务器
- 可3秒入侵Windows服务器:微软敦促客户尽快修复Zerologon漏洞
- Windows Server 2012 R2 CA服务器部署
- CA证书服务器的搭建
- 在30分钟内创建你的深度学习服务器
- 基于Pyqt5的C/S模式客户端在线升级方案
- 无服务器技术如何实现最佳的DevOps实践
- 中国访问美国服务器要如何加速?
- 服务器提权
- 我用过的几款SSH客户端工具