Tôi đã nhận được báo cáo lạm dụng từ AWS với thông tin sau: * Trích xuất nhật ký: <<< kết nối đáng ngờ trên Mạng trò chuyện IRC Undernet kết nối từ một mạng lưới bạn điều khiển (204.236.128.0/17).
Nhật ký được thực hiện vào năm 2010.
tomcat!~bacchus@204.236.250.XXX (Tampa)
[lưu ý- địa chỉ trên thực sự là của máy chủ của tôi] Làm cách nào tôi có thể phát hiện ra những gì đã chiếm lấy máy chủ của tôi?
Câu trả lời:
Nếu máy của bạn đã bị xâm nhập và bạn không có kế hoạch cho kịch bản đó thì thực tế bạn không thể làm gì. Phản ánh, ăn năn, khởi động lại, định dạng lại, chỉ cài đặt lại và khôi phục dữ liệu của bạn. Sau đó áp dụng tất cả các bản vá của nhà cung cấp để đưa hệ thống của bạn đến thông số kỹ thuật hiện tại và làm cứng hệ thống của bạn. Sau đó tìm hiểu cách sử dụng IDS dựa trên máy chủ một cách hiệu quả để bạn có thể phục hồi dễ dàng hơn từ bất kỳ cuộc tấn công nào trong tương lai. Sau đó tiến hành xem xét cẩn thận mã / tập lệnh tùy chỉnh bạn đã triển khai và cố gắng làm cho chúng an toàn hơn. Sau đó, có lẽ bạn có thể nghĩ về việc chuyển đổi dịch vụ trở lại.