【待反馈】这是遭黑客删文件了吗？

4月9日一切安好
4月10日一天没打开过服务器
4月11日打开发现 /www下的目录被删的只剩下一个server/panel

这是不是宝塔被攻击了，数据丢失真的很无奈

你有购买数据盘嘛？

您好，您那边是否有多个磁盘呢？如果有多个磁盘，执行下面命令看下是否有将www目录挂载到了磁盘上

1. df -h
   
2. lsblk -l

复制代码

谢花郎 发表于 2022-4-11 11:12
您好，您那边是否有多个磁盘呢？如果有多个磁盘，执行下面命令看下是否有将www目录挂载到了磁盘上

...

没有，就一个

钻头 发表于 2022-4-11 11:11
你有购买数据盘嘛？

没有购买数据盘，就一块

宝塔用户_bufuvu 发表于 2022-4-11 11:14
没有，就一个

看下命令行的操作记录，如果没有的话记录的话，先重新安装下面板，先登录到面板看下
然后再去/var/log/路径下，查看系统日志以及SSH登录信息

SSH登录信息：secure文件
系统日志文件：messages文件

谢花郎 发表于 2022-4-11 11:23
看下命令行的操作记录，如果没有的话记录的话，先重新安装下面板，先登录到面板看下
然后再去/var/log/路 ...

好的，日志被使用了  set +o history 查不到了，我先重装一下面板看看

宝塔用户_bufuvu 发表于 2022-4-11 11:25
好的，日志被使用了  set +o history 查不到了，我先重装一下面板看看

好的，可以的话，如果没办法溯源了的话，备份好网站数据以及数据库数据，重新安装下系统
然后使用D盾扫一下网站源码看下是否存在后门或者漏洞

其次将不必要的端口不要开启外网访问，如果必须要外网访问，那就指定IP访问。
SSH端口可更改其他端口，并设置指定IP访问，或者关闭SSH服务。
也可以使用密钥访问SSH

谢花郎 发表于 2022-4-11 11:23
看下命令行的操作记录，如果没有的话记录的话，先重新安装下面板，先登录到面板看下
然后再去/var/log/路 ...

您好，日志文件在这里，麻烦你帮我看一下吧

宝塔用户_bufuvu 发表于 2022-4-11 11:33
您好，日志文件在这里，麻烦你帮我看一下吧

这个IP61.155.110.210是你本地的吗？这个IP从10号一直再尝试登录。另外看到123.233.121.*这个IP是有登录成功的，你确认下这两个IP

谢花郎 发表于 2022-4-11 11:36
这个IP61.155.110.210是你本地的吗？这个IP从10号一直再尝试登录。另外看到123.233.121.98这个IP是有登录 ...

61.155.110.210 这个不是我本地的，后面那个是，唉，数据没法恢复了吧，我做一下其他安全处理吧

宝塔用户_bufuvu 发表于 2022-4-11 11:39
61.155.110.210 这个不是我本地的，后面那个是，唉，数据没法恢复了吧，我做一下其他安全处理吧 ...

好，做下防护，限制下SSH不通过root直接登录。