VPSがどのように侵入されたかを知るにはどうすればよいですか?
私はUbuntuを実行しているVPSを持っています。
最近、VPSがハッキングされ、誰かがVPSでホストされているすべてのWebサイトにスクリプトを配置していることがわかりました。
SucuriはそれがMW:SPAM:SEOだと言います。 VPSをクリーンアップしましたが、VPSがどのように侵入されたのか疑問に思います。
VPSで開いているポートは22と80だけです。
SSHのパスワード認証を無効にし、公開鍵認証のみを使用しています。VPSにアクセスできるのは私だけです。
とにかく私はこれについて知ることができますか?
編集
ほとんどのWebアプリケーションはWordpressインスタンスです。php5-fpmでNginxを使用しています。
SSH認証の試行は通常、/ var/log /auth.logファイルに保存されます。したがって、攻撃者がSSH経由でアクセスした場合、そこに何か役立つものがあるかもしれません。
ただし、おそらく、攻撃者のアクセスを許可したWebアプリケーションの1つに脆弱性があります。ここでは、使用するWebサーバースタックや実行するアプリケーションの種類については触れていないため、具体的に説明するのは困難です。ただし、一般的には、Webサーバーのログを調べて、疑わしいエントリを探す必要があります。
また、WordPressのようなものを実行する場合は、それが最新であることを確認し、すべてのプラグインを更新する必要があります。 WordPressの場合、攻撃者がサーバーを制御できるようにする、不適切に記述されたプラグインであることがよくあります。