web-dev-qa-db-ja.com

VPSがどのように侵入されたかを知るにはどうすればよいですか?

私はUbuntuを実行しているVPSを持っています。
最近、VPSがハッキングされ、誰かがVPSでホストされているすべてのWebサイトにスクリプトを配置していることがわかりました。

SucuriはそれがMW:SPAM:SEOだと言います。 VPSをクリーンアップしましたが、VPSがどのように侵入されたのか疑問に思います。

VPSで開いているポートは22と80だけです。
SSHのパスワード認証を無効にし、公開鍵認証のみを使用しています。VPSにアクセスできるのは私だけです。

とにかく私はこれについて知ることができますか?

編集

ほとんどのWebアプリケーションはWordpressインスタンスです。php5-fpmでNginxを使用しています。

1
Omid Kamangar

SSH認証の試行は通常、/ var/log /auth.logファイルに保存されます。したがって、攻撃者がSSH経由でアクセスした場合、そこに何か役立つものがあるかもしれません。

ただし、おそらく、攻撃者のアクセスを許可したWebアプリケーションの1つに脆弱性があります。ここでは、使用するWebサーバースタックや実行するアプリケーションの種類については触れていないため、具体的に説明するのは困難です。ただし、一般的には、Webサーバーのログを調べて、疑わしいエントリを探す必要があります。

また、WordPressのようなものを実行する場合は、それが最新であることを確認し、すべてのプラグインを更新する必要があります。 WordPressの場合、攻撃者がサーバーを制御できるようにする、不適切に記述されたプラグインであることがよくあります。

1
Lochnair