Отправьте электронное письмо, когда введен неверный пароль
Большинство сценариев и ручных взломов делают:
- очищают записи журнала и аналогичные следы взлома
- устанавливают руткит, который позволяет вход в систему вне серверных программ по умолчанию
- заменить по умолчанию программы (например, ps, netstat, ls и т. д.) с измененными версиями, которые скрывают любую активность вышеупомянутого руткита (например, ps не показывает запущенный процесс руткита)
Иногда эти атаки ошибочны и оставляют следы. . Но в любом случае: вы не можете доверять никаким диагностическим инструментам, имеющимся в вашей системе.
Если вы хотите немного поиграть и узнать, вы можете:
Установить и запустить, например, 'rkhunter' [*], который проверяет известные руткиты, но вы не можете доверять выходным данным без:
- запуска это по крайней мере один раз до того, как произошло вторжение
- в надежде, что злоумышленник проигнорирует установку rkhunter в системе (не манипулирует самим rkhunter)
Загрузка с аварийного компакт-диска / USB.
- Установите системные диски и посмотрите вокруг двоичных файлов системы спасения
- , сравнивая md5sum двоичных файлов со стандартной версией.
- загрузить систему в виртуальную машину и проверить сетевой трафик
tl; dr: Практически невозможно определить вектор атаки на такую открытую систему. Так или иначе:
Будьте ответственны и отключите систему от Интернета как можно скорее и настройте ее заново с нуля.
[*] или других систем IDS, их много.
logwatchбудет ежедневно присылать вам электронное письмо со списком неудачных попыток входа в систему, а также с множеством других интересных фрагментов информации, почерпнутых из системных журналов.