我正在嘗試診斷最近發生的意外重啟,我只是好奇這是否可能。
答案1
一般來說,是的:如果您有一個缺陷導致使用 root 存取權限遠端執行程式碼,您就可以做到。
事實上,特定缺陷可能不會導致遠端程式碼執行,但仍然會導致核心崩潰和伺服器重新啟動。
然而,考慮到您提出問題的方式,我懷疑您是否具備對系統進行事後分析以檢測此類攻擊的必要知識:如果您確實希望檢查系統,我建議您聘請一名安全專業人員。
答案2
您需要 root 存取權才能重新啟動 Linux 伺服器。如果您的 root 帳戶被洩露並且您啟用了 ssh,那麼某人完全有可能遠端重新啟動您的伺服器。從這個問題的品質來看,如果這會影響生產系統,我強烈建議您聘請一位具有揭露經驗的顧問。
答案3
是的,但我建議你暫時不要考慮這一點。
大多數攻擊者侵入伺服器的原因如下:
- 對其他受感染的伺服器執行 DOS 攻擊或 C&C。
- 託管侵犯版權的內容。
- 透過污損網站來發表政治或社會聲明。
- 對遠端伺服器和客戶端進行額外的妥協。
對於大多數攻擊者來說,僅僅為了重新啟動伺服器而闖入伺服器並沒有真正的好處。雖然這是可能的,但考慮到大多數入侵者的動機,它更重要可能問題是其他的——要么是託管提供者的維護、中斷,要么是更糟糕的情況,有人意外地重新啟動了機器並且沒有「坦白」。 :)
答案4
當然,這是可能的。查看/var/log/auth.log以檢查任何可疑日誌。