请问有没有能在有人登录时能立即通过 Telegram 机器人发送推送,并将操作记录实时上传到另一台服务器的开源服务器监控软件?
naoh1000 · 2020-12-24 18:12:17 +08:00 · 3895 次点击这是一个创建于 1426 天前的主题,其中的信息可能已经有所发展或是发生改变。
最近总感觉有人动我服务器,但是日志没看出什么,感觉被清理过。请问有没有能在有人登录时能立即通过 Telegram 机器人发送推送,并将操作记录实时上传到另一台服务器的开源服务器监控软件?
另外请问有没有好方法排查服务器是否被挂马?进程里没看出什么,个人小项目。
另外请问有没有好方法排查服务器是否被挂马?进程里没看出什么,个人小项目。
 |
1
naoh1000 OP 服务器内存储了很多敏感信息,因此比较重视服务器安全。
|
 |
2
zhoucan007 2020-12-24 18:15:38 +08:00
ServerCat ?? Telegram 自己开个 bot,然后写个 curl 就行了吧。
|
|
3
naoh1000 OP 前端程序员第一次写自己项目就是涉及用户敏感数据的,目前已经有了 8000 活跃用户。对运维没什么经验,因此很担心服务器安全。
|
 |
4
Tink 2020-12-24 19:58:06 +08:00 via Android
当然没问题啊
|
 |
5
cominghome 2020-12-24 20:04:32 +08:00  2
在.bashrc 里加一个 curl
|
|
6
Tink 2020-12-24 20:08:03 +08:00
 |
 |
7
ETiV 2020-12-24 20:09:43 +08:00 via iPhone
1. 确定可能的登录方式,比如 ssh
2. 监控 sshd 日志,发现成功登录就去 curl 发消息 |
 |
8
KasuganoSoras 2020-12-24 20:10:01 +08:00 via Android
5 楼正解,不过我试过好像会导致 sftp 无法正常登录
|
 |
9
EscYezi 2020-12-24 20:18:05 +08:00 via iPhone
歪个楼,ssh 设置成仅证书登录就好了
|
|
10
naoh1000 OP @EscYezi SSH 肯定是仅证书,怕的是私钥泄露,或是什么软件有漏洞。其它的管理端口改非常用高位端口并加 IP 段白名单,禁 ICMP,能想到的安全措施都上了。但是业务数据太敏感了,泄露不起。不适合个人做的业务(市面上没有一个做的好的,很想自己做)
|
|
11
naoh1000 OP |
 |
12
dorothyREN 2020-12-24 21:45:20 +08:00
tg 通知好做,操作记录 可能需要审计软件吧
|
|
13
Tink 2020-12-24 21:49:44 +08:00
|
|
14
KasuganoSoras 2020-12-24 21:53:42 +08:00
@naoh1000 #11
Server 1 (要监控的机器) #!/bin/sh while true do cat ~/.bash_history | nc -v 机器 2 的 IP 端口号 sleep 5 done Server 2 (要记录数据的机器) #!/bin/sh while true do nc -v -lp 端口号 > bash_history.txt done |
|
15
KasuganoSoras 2020-12-24 21:54:27 +08:00
@KasuganoSoras #14 需要安装 nmap-ncat
|
 |
16
HAWCat 2020-12-24 22:02:01 +08:00 via Android
换个私钥,然后加上二次验证
|
 |
17
suotm 2020-12-24 22:21:09 +08:00
可以用 curl 触发 webhook,每次 ssh 有登录的时候就触发:
 |
 |
18
yfwl 2020-12-25 02:35:57 +08:00
监控 SSH 登录呗
|
 |
19
akira 2020-12-25 03:30:55 +08:00
直接吧 message 日志实时同步出来应该就足够了
|
|
20
ETiV 2020-12-25 04:18:16 +08:00 via iPhone
操作记录试试 script,参数啥的、你看看 help
可以输出成文件,然后用 rsyslog 什么的转发走 |
 |
21
ExplodingFKL 2020-12-25 08:22:19 +08:00
或许可以参考下 fail2ban 的原理
|
 |
22
ruidoBlanco 2020-12-25 08:38:16 +08:00
写.bashrc 的做法不能防止 bot 直接 ssh <host> <command> 跑命令,因为没有起 interactive shell,不会去读 bashrc 。
如果要防,在 pam 设置里想办法。 |
 |
23
julyclyde 2020-12-25 09:59:37 +08:00
Linux 里绝大多数登录都会经过 PAM
当然了如果你的机器已经被“特地设置过”那就不好说了 |
 |
24
KouShuiYu 2020-12-25 10:49:16 +08:00
监听 bash_history 文件变化?这个简单
|
 |
25
tianshiyeben 2020-12-25 10:56:54 +08:00
wgcloud,很轻的监控软件,里面有个日志文件监控模块,设置敏感字符,检测到就会发送告警信息(邮件钉钉微信)
你试试 www.wgstart.com |
 |
27
vken 2020-12-25 17:45:42 +08:00
改端口,换证书,2 次动态验证,/etc/profile + curl + Bark(IOS)
|
|
28
vken 2020-12-25 17:47:46 +08:00
另外既然你已经不在信任自己的机器,就应该考虑迁移到另一台机上
|
Select Language