내 VPS 공급자는 내 서버가 SSH 무차별 대입 공격을 받았다고 말했습니다. "last" 명령을 사용하여 세션을 확인했지만 공격 중에 활성 루트 세션이 없었습니다. "lastb" 출력에는 실패한 시도가 많이 표시됩니다. 누군가가 내 서버를 해킹한 것 같습니다. 그렇다면 그가 언제 로그인했는지, 어떤 프로세스를 시작했는지 어떻게 알 수 있나요? (물론 봇입니다)
오늘 루트 비밀번호를 변경했는데 알 수 없는 IP 주소에서 새 세션이 나타났습니다. 어떻게 이것이 가능합니까? 악성코드가 설치되어 있는 경우, 악성코드를 모두 제거하려면 어떻게 해야 합니까? 내 서버가 실제로 공격을 받고 있는지 확인하고 싶지만 내 VPS에서 실패한 SSH 연결을 확인하는 방법이나 다른 증거를 찾는 방법을 모릅니다.
세션 기록을 분석해 보았으나 소용이 없었습니다.