服务器可能已被入侵？

Question

我不确定我是否能够得到这方面的帮助所以我希望有人在这里知道。我有一个专用的服务器和托管2个字的新闻网站。它是一个ubuntu服务器，我正在使用Apache。我觉得我的服务器可能会受到损害。出于某种原因，我的一个新闻网站有时会说有很多人连接到它（100-300）。问题是网站上没有任何活动的迹象。我为它设置了聊天，甚至猜测访问会自动作为访客用户添加到聊天中。但那里从来没有人。我有一些安全插件的单词新闻网站，我得到了很多奇怪的活动。随机IP试图加载不存在的页面，人们试图以管理员身份登录，分机......这种情况不停发生。

基本上我想让我的服务器安全，并且现在它被用于坏事情而我不知道。我很熟悉php，我不是ubuntu服务器上的专家。有人可以告诉我，我应该离开这里。我想只是指出我正确的方向让我弄清楚如何处理这个问题。

由于

Answer 1

  

以下列出了我为保护服务器所做的事情。

1. 启用UFW（sudo ufw enable），然后只允许端口 实际使用过。 （sudo ufw允许80）
2. 确保MySQL仅允许来自localhost的连接启用TLS 关于邮件服务。即使它是自签名证书。你不想要 密码以明文形式发送。
3. 安装ssh bruteforce阻止程序，如denyhosts或fail2ban。 （须藤 apt-get install denyhosts）研究基于密钥的登录 只要。学习AppArmor。如果你使用相当香草的配置，那么 这非常容易。只需确保它已打开。我会帮你的 减少零日攻击。

4. 根据对服务器的物理访问权限，您甚至可能希望这样做 看看加密硬盘上的数据。关注其他 此链接中的建议。

   编辑：当我没有足够的声誉来添加更多链接时，我忘记编辑此内容。这里的链接是下面的最后一个链接。绝不相信您的用户。如果您有多个用户可以访问系统，请将其锁定。如果你必须给他们sudo访问权限，只给他们所需要的东西。使用常识。如果你被锁定了，那就要认真思考你是如何进入的。然后关闭那些洞。还有一些事情需要考虑。大多数人忘记了物理访问。如果我可以使用LiveCD实际进入并窃取您的数据，那么世界上所有的软件配置都没有任何意义。谨防社会工程。提出问题以确认谁在通电话，并确保他们有权提出他们正在做出的请求。

Source Where I have found these 因为我还是一个新的＆＃39;用户，我不能发布2个以上的链接。您可以在此处详细了解此主题：https://help.ubuntu.com/12.04/serverguide/index.html并特别注意https://help.ubuntu.com/12.04/serverguide/security.html