यह अपने आप में एक विषय है; अधिक जानकारी के लिए आप लिनक्स फोरेंसिक के लिए गूगल कर सकते हैं। मूल रूप से आपको पहले ऑफ़लाइन विश्लेषण के लिए अपने ड्राइव की एक छवि बनानी होगी, फिर कंप्यूटर को पोंछकर क्लीन स्लेट से इंस्टॉल करना होगा।
और सारी घटना याद है। कंप्यूटर का उपयोग करने वाला कोई भी व्यक्ति अपने पासवर्ड से समझौता कर सकता था। पासवर्ड बदलें, इसे ऑफ़लाइन रखें, आदि जब तक कि आप इसे "क्लीन रूम" (पृथक वीएम) में प्राप्त न करें।
अन्यथा यह बहुत सारे लॉग की जाँच (जो कि फीका हो सकता है) और आपके एप्लिकेशन (php स्क्रिप्ट्स की जाँच कर रहा है? डेटाबेस? नवीनतम फ़िक्सेस के लिए अद्यतन? अन्य उपयोगकर्ता पासवर्ड दे रहा है?)
आपके प्रश्न का उत्तर देने का कोई आसान तरीका नहीं है क्योंकि आपको सर्वर पर फोरेंसिक काम करने और छेदों की जांच करने की आवश्यकता होगी। आप कुछ स्वचालित साधनों का उपयोग कर सकते हैं, लेकिन ध्यान रखें यदि हमलावर के पास रूट है तो आप सिस्टम बायनेरिज़ पर भरोसा नहीं कर सकते हैं, और आप लॉग पर भरोसा नहीं कर सकते।
भविष्य के हमलों के लिए, आप इसे कितना सुरक्षित बनाना चाहते हैं, इसके आधार पर, आप अपने लॉग को एक सिस्टम पर पुनर्निर्देशित करके शुरू कर सकते हैं जो कि सिस्टम लॉग को बचाने के लिए उपयोग किया जाता है। कोई अन्य पहुंच नहीं, हमले के निशान को कम करने के लिए।
आप अपनी फ़ाइलों की अखंडता की जांच करने के लिए ट्रिपवायर की तरह अपने सिस्टम पर चेकसम सॉफ्टवेयर चलाएंगे।
और निश्चित रूप से अपडेट के साथ अद्यतित रहें और स्कैनिंग सॉफ़्टवेयर चलाएं जो रूटकिट्स के लिए जांचते हैं।
फिर से, सुरक्षा एक फेंक-स्विच चीज नहीं है। यह अपने आप में एक विशेषता भी हो सकती है। लेयर्ड सुरक्षा मेजबानों / आईपी के लिए कड़ी हो सकती है, जो आपके नेटवर्क पर नहीं है, सिस्टम तक सभी पहुंच को एन्क्रिप्ट कर रहा है, आपके द्वारा भेजे गए परिवर्तनों के दैनिक लॉग आपके पास भेज रहा है, और आपके नेटवर्क पर एक हनीपॉट सेट कर रहा है। अजीब गतिविधि के लिए देखें (मेरा सर्वर हनीपोट कंप्यूटर पर पोर्ट 25 से कनेक्ट करने की कोशिश क्यों कर रहा है?)
सबसे पहले और सबसे महत्वपूर्ण अगर आप गतिविधि की जांच करना चाहते हैं, तो डिस्क छवि प्राप्त करें और सर्वर सॉफ़्टवेयर को पुनर्स्थापित करें। शुरुवात से। सर्वर के बायनेरिज़ पर अब भरोसा नहीं किया जा सकता है।
EDIT - SSH को चलाने के बाद से मेरे साथ होने वाली कुछ अन्य चीजें - denyhosts इंस्टॉल करें। इसे कॉन्फ़िगर किया जा सकता है ताकि एसएसएचडी पर आपके सिस्टम के खिलाफ स्वचालित हमले एक्स के प्रयासों की संख्या के बाद लॉक हो जाएंगे। इसे स्वचालित मेलों को कम करने में मदद करने के लिए लॉक किए गए आईपी को साझा करने के लिए "क्लाउड" में अन्य डेनिस्ट सर्वर से अपडेट करने के लिए भी कॉन्फ़िगर किया जा सकता है। आप उस पोर्ट को भी स्थानांतरित कर सकते हैं जिस पर वह सुन रहा है; कई लोग बताते हैं कि यह केवल अस्पष्टता के माध्यम से सुरक्षा है, लेकिन बॉट स्कैनिंग की संख्या को देखते हुए, यह अंदर तोड़ने के यादृच्छिक प्रयासों पर काफी कटौती करता है।