近日接到客户求助,他们收到托管电信机房的信息,通知检测到他们的一台服务器有对外发送攻击流量的行为.希望我们能协助排查问题. 一.确认安全事件 情况紧急,首先要确认安全事件的真实性.经过和服务器运维人员沟通,了解到业务只在内网应用,但服务器竟然放开到公网了,能在公网直接ping通,且开放了22远程端口.从这点基本可以确认服务器已经被入侵了. 二.日志分析 猜想黑客可能是通过SSH暴破登录服务器.查看/var/log下的日志,发现大部分日志信息已经被清除,但secure日志没有被破坏,可以看到大量S