侵入者が Linux サーバーをリモートで (内部アクセスなしで) 再起動することは可能ですか?

一般的に言えば、はい。ルート アクセスによるリモート コード実行につながる欠陥がある場合は、実行できます。

実際のところ、特定の欠陥によってリモート コード実行は発生しないものの、カーネル パニックやサーバーの再起動が発生する可能性はあります。

しかし、あなたの質問の言い方からすると、この種の攻撃を検出するためにシステムの事後分析を実行するのに必要な知識があなたにはあるとは思えません。システムを本当に検査したいのであれば、セキュリティ専門家を雇うことをお勧めします。

Linux サーバーを再起動するには、ルート アクセスが必要です。ルート アカウントが侵害され、SSH が有効になっている場合、誰かがリモートからサーバーを再起動することは十分に可能です。この質問の質から判断すると、これが実稼働システムに影響している場合は、啓示の経験を持つコンサルタントを雇うことを強くお勧めします。

はい、しかし、まだそれを考慮に入れないことをお勧めします。

ほとんどの攻撃者は次のような理由でサーバーに侵入します。

• 他の侵害されたサーバーに対して DOS 攻撃または C&C を実行します。
• 著作権を侵害するコンテンツをホストします。
• ウェブサイトを改ざんして政治的または社会的声明を発表する。
• リモート サーバーからクライアントへの追加の侵害を実行します。

ほとんどの攻撃者にとって、再起動のためだけにサーバーに侵入しても実質的なメリットはありません。それは可能ですが、ほとんどの侵入者の動機を考えると、おそらく問題は別のものです - ホスティング プロバイダーによるメンテナンス、停止、または最悪の場合、誰かが誤ってマシンを再起動して、それを認めていない可能性があります。 :)

もちろん可能です。/var/log/auth.log怪しいログがないか確認してください。