Я не думаю, что этот вопрос относится к SO, но я думаю, вы могли бы использовать небольшое направление в любом случае.
Проверьте свои предположения
Вы должны начать с проверки ваших предположений:
Сегодня кто-то взломал мой сервер и войти в систему в качестве пользователя Root.
Откуда вы знаете? Есть ли запись в файле журнала, в которой пользователь регистрировался с неизвестного IP-адреса? Когда вы говорите logged in
, большинство из нас предположит, что вы имеете в виду вход в систему, используя либо ssh, либо, возможно, какой-то интерфейс управления, например cpanel. Мы интерпретируем это как «кто-то получил доступ с использованием действительных учетных данных». Однако вам не нужно иметь действительные учетные данные для доступа к сайту.
Если у вас есть единственное доказательство, что кто-то изменил некоторые файлы, то вы действительно не можете быть уверены, что они «вошли в систему» вообще. Если они использовали службу на вашем веб-сервере, они могли бы изменять и редактировать файлы, даже не зная вашего пароля. Это происходит довольно регулярно с неподдерживаемыми и неподдерживаемыми примерами joomla и wordpress (среди прочих).
Кража паролей
Как с технической точки возможно для кого-то, чтобы узнать мой корневой пароль? Может ли кто-либо войти в систему как пользователь Root из какого-либо сервиса apache или php, не вводя фактический пароль?
См. Выше раздел «войти». Но, чтобы быть ясным, да, кто-то может запускаться как root или php без фактического входа в систему или с использованием пароля. Подумайте, что они также могут украсть ваш пароль с помощью кейлоггера на клиенте, с которого вы входите, или, если они ранее скомпрометировали ваш сервер, установить на сервере программы для захвата вашего пароля.
Если вы используете веб-администрацию, то злоумышленник может также использовать атаки, такие как межсайтовый скриптинг или подделка подпроса, чтобы либо украсть ваши сеансовые файлы cookie, либо преформы в ваших интересах.
Суть
Восстановление компромисса может быть очень сложно. Вы должны собрать много данных, чтобы попытаться определить причину. Вы должны просмотреть свои веб-журналы, журналы ssh и т. Д. Сопоставьте временную шкалу, когда файлы были изменены, кто был последним пользователем для входа в систему и т. Д. Вы также должны убедиться, что злоумышленники ушли: вы восстановили свои файлы из известная хорошая резервная копия? Есть ли дополнительные процессы запуска или cronjobs?
Вы должны включить в свое описание, если оно является общедоступным или нет. – developerwjk
Вероятно, вы получите более качественные ответы, если зададите этот вопрос на security.stackexchange.com –
Ваш пароль не очень сложный, вы не должны разрешать пользователю root, вы должны использовать другое имя пользователя или корневой ключ SSH. – cmorrissey