我的 Unix 伺服器被入侵了嗎？

有人問這是否構成闖入，並想知道他們的伺服器是否已被入侵。

Jan 12 04:16:51 foo sshd[26725]: Failed password for root from 61.174.51.207 port 1076 ssh2
Jan 12 04:16:54 foo sshd[26822]: Disconnecting: Too many authentication failures for root
Jan 12 04:16:54 foo sshd[26825]: Failed password for root from 61.174.51.207 port 1076 ssh2
Jan 12 04:16:54 foo sshd[27324]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.174.51.207 user=root "secure" 229L, 24376C

如何診斷他們的伺服器是否被入侵？

誤報

上面的日誌顯示有人試圖闖入系統但沒有成功。這一行表明他們嘗試了 5 次以 root 身份通過 SSH 進入系統，但都失敗了。

PAM 5 次身份驗證失敗…

如果您在日誌中看到此類消息，最好對它們進行調查，以便您了解它們的含義，但也不要對它們過於驚慌。

**注意：**日誌中的這種類型的喋喋不休通常被稱為IBR（網際網路背景輻射）或 IBN（網際網路背景雜訊）。

確信你被黑客入侵了？– 如何診斷

在我之前曾與 FBI 合作過一次，這些是我為診斷已被入侵的伺服器所做的以下事情。這些沒有特別的順序！

1. 立即關閉系統。
2. 如果您懷疑某個系統已被入侵，您將無法再信任此伺服器上的任何軟體。因此，請使用其他工具，即關閉伺服器並安裝從屬磁碟，或者從已知良好的 live CD/USB 引導。
3. 日誌可能已被篡改，但通過仔細檢查它們是否有異常來開始您的分析。
4. 歸檔系統。如果您還沒有備份它，請立即備份。
5. 對攻擊者如何進入進行逆向工程，以便您了解漏洞並在未來阻止它們。
6. 保留系統的存檔集，以防執法人員出現詢問您有關係統的資訊。
7. 對攻擊者安裝的任何後門和/或軟體進行反向工程，以便您了解攻擊者使用您的系統的邪惡目的。
8. 使用複制的數據執行分析。
9. 重新安裝時，請確保您沒有重新安裝受損數據或易受攻擊的程式碼。

引用自：https://unix.stackexchange.com/questions/109080