请问有没有能在有人登录时能立即通过 Telegram 机器人发送推送，并将操作记录实时上传到另一台服务器的开源服务器监控软件？

2020-12-24 18:12:17 +08:00

naoh1000

最近总感觉有人动我服务器，但是日志没看出什么，感觉被清理过。请问有没有能在有人登录时能立即通过 Telegram 机器人发送推送，并将操作记录实时上传到另一台服务器的开源服务器监控软件？
另外请问有没有好方法排查服务器是否被挂马？进程里没看出什么，个人小项目。

3801 次点击

所在节点

28 条回复

ExplodingFKL

2020-12-25 08:22:19 +08:00

或许可以参考下 fail2ban 的原理

ruidoBlanco

2020-12-25 08:38:16 +08:00

写.bashrc 的做法不能防止 bot 直接 ssh <host> <command> 跑命令，因为没有起 interactive shell，不会去读 bashrc 。

如果要防，在 pam 设置里想办法。

julyclyde

2020-12-25 09:59:37 +08:00

Linux 里绝大多数登录都会经过 PAM
当然了如果你的机器已经被“特地设置过”那就不好说了

KouShuiYu

2020-12-25 10:49:16 +08:00

监听 bash_history 文件变化？这个简单

tianshiyeben

2020-12-25 10:56:54 +08:00

wgcloud，很轻的监控软件，里面有个日志文件监控模块，设置敏感字符，检测到就会发送告警信息（邮件钉钉微信）
你试试 www.wgstart.com

naoh1000

2020-12-25 11:38:17 +08:00

@KouShuiYu 对方可能不用 bash

vken

2020-12-25 17:45:42 +08:00

改端口，换证书，2 次动态验证，/etc/profile + curl + Bark(IOS)

vken

2020-12-25 17:47:46 +08:00

另外既然你已经不在信任自己的机器，就应该考虑迁移到另一台机上

第 2 页／共 2 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.