私のVPSプロバイダは、私のサーバーがSSH無差別代入攻撃を受けたと言いました。 "last"コマンドを使用してセッションを確認しましたが、攻撃中にアクティブなルートセッションがありませんでした。 「lastb」出力には失敗した試みがたくさん表示されます。誰かが私のサーバーをハッキングしたようです。それでは、彼がいつログインしたのか、どのプロセスを開始したのかをどうやって知ることができますか? (もちろんボットです)
今日はルートパスワードを変更しましたが、未知のIPアドレスに新しいセッションが表示されました。どのようにこれが可能ですか?マルウェアがインストールされている場合、マルウェアをすべて削除するにはどうすればよいですか?私のサーバーが実際に攻撃を受けているかどうかを確認したいのですが、私のVPSで失敗したSSH接続を確認する方法や他の証拠を見つける方法がわかりません。
セッション履歴を分析してみましたが、役に立ちませんでした。