请问有没有能在有人登录时能立即通过 Telegram 机器人发送推送,并将操作记录实时上传到另一台服务器的开源服务器监控软件?

2020-12-24 18:12:17 +08:00
 naoh1000
最近总感觉有人动我服务器,但是日志没看出什么,感觉被清理过。请问有没有能在有人登录时能立即通过 Telegram 机器人发送推送,并将操作记录实时上传到另一台服务器的开源服务器监控软件?
另外请问有没有好方法排查服务器是否被挂马?进程里没看出什么,个人小项目。
3903 次点击
所在节点    云计算
28 条回复
ExplodingFKL
2020-12-25 08:22:19 +08:00
或许可以参考下 fail2ban 的原理
ruidoBlanco
2020-12-25 08:38:16 +08:00
写.bashrc 的做法不能防止 bot 直接 ssh <host> <command> 跑命令,因为没有起 interactive shell,不会去读 bashrc 。

如果要防,在 pam 设置里想办法。
julyclyde
2020-12-25 09:59:37 +08:00
Linux 里绝大多数登录都会经过 PAM
当然了如果你的机器已经被“特地设置过”那就不好说了
KouShuiYu
2020-12-25 10:49:16 +08:00
监听 bash_history 文件变化?这个简单
tianshiyeben
2020-12-25 10:56:54 +08:00
wgcloud,很轻的监控软件,里面有个日志文件监控模块,设置敏感字符,检测到就会发送告警信息(邮件钉钉微信)
你试试 www.wgstart.com
naoh1000
2020-12-25 11:38:17 +08:00
@KouShuiYu 对方可能不用 bash
vken
2020-12-25 17:45:42 +08:00
改端口,换证书,2 次动态验证,/etc/profile + curl + Bark(IOS)
vken
2020-12-25 17:47:46 +08:00
另外既然你已经不在信任自己的机器,就应该考虑迁移到另一台机上

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/738676

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX