Если вы подозреваете, что на ваш сервер кто-то залез - лучше, конечно, сразу обратиться к профессионалам, которые изучат активность сервера, определят и устранят уязвимости, устранят последствия. Но если хочется сначала разобраться во всем самому, то вот есть небольшая инструкция.
Первое, на что нужно обратить внимание - это дата и время последней авторизации, если авторизация происходила не под вашим контролем, значит root-пароль был скормпрометирован и необходимо его сменить:
passwd Changing password for user root. New UNIX password: ...
Далее сканируем хост на предмет подозрительных открытых портов. Сделать это можно, например, с другой юниксовой машины (как хорошо, что я уже несколько лет как отказался от Windows в пользу Linux) с помощью утилиты nmap (только IP своего сервера впишите):
nmap -P0 111.111.111.111
Результатом будет список из портов, с указанием их статуса и того, каким сервисом занят данный порт. Анализируя данный список можно отсеять ненужные фильтры путем остановки данных сервисов и закрытия порта (если нужно).
Для анализа подозрительных портов, можно из консоли сервера посмотреть, кто слушает данные порты:
grep LISTEN | grep 111 tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 1685/portmap
Далее проверяем UPD-соединения:
netstat –anp | grep udp
Если и тут все хорошо - проверяем, не лежат ли чужие ssh-ключи. для этого смотрим залитые на сервер ключи:
dir /root/.ssh
Если информация по ключу вам не знакома, следует от данного ключа избавиться.
Далее нужно проверить файл /etc/passwd. В нём не должно быть пользователей с uid=0, кроме root:
cat /etc/passwd | more
Если и тут все хорошо, то остается лишь проверить хост на установленные руткиты. Для этого можно использовать бесплатную утилиту rkhunter.
./installer.sh --install --layout /usr/local /usr/local/bin/rkhunter –-update /usr/local/bin/rkhunter –-check
Rkhunter в начале проверят важные системные файлы, затем ищет руткиты. После происходит проверка на различные vulnerabilities. В конце программа проверяет версии популярных продуктов, таких как Apache, OpenSSH и т.п. на предмет последних версий.
Результаты своей работы rkhunter выдает в консоль, а также формирует консолидированный лог /var/log/rkhunter.log. Можно запускать данный антируткит, например, каждый день по крону и получать отчет о сканировании по электронной почте.Вот такая вышла инструкция для знакомых с работой в *nix-системах. Очень рекомендую проводить такую вот проверку хотя бы раз в месяц.
P.S. Я не являются специалистом системного администрирования, поэтому использование данной инструкции - на ваш страх и риск. Если сомневаетесь - лучше обратитесь к специалисту!