我将从如何处理您当前的系统开始：

1. 进入并备份所有内容。
2. 除非你能证明重大损失（1 万美元以上），否则我什至不会考虑涉及执法。他们忙得不可开交，鉴于互联网上的当前模式，你的罪魁祸首很可能与你在不同的国家。没有人会为被黑的 Wordpress 网站执行引渡程序。（对不起，我知道这很难听，但这是现实。）
3. 将当前服务器烧毁。
4. 考虑旧服务器上的每个密码都已泄露。

现在，您如何构建新服务器以避免再次发生这种情况？我将根据您在帖子中写的内容做出一些假设：

• 多个 Wordpress 安装。
• Apache 上的 mod_php
• CPanel/WHM

这里有一些建议：

1. 获取您的新服务器。
2. 重新安装您的应用程序，并设置与旧密码/凭据无关的强密码/凭据。
3. 配置 SELinux，尽可能限制每个站点的暴露。
4. 小心你安装的 wordpress 插件。他们的安全记录比 wordpress 核心差得多。
5. 确保网络服务器可写的目录永远不会将文件解释为 PHP。
6. 尽可能使用 2 因素身份验证。
   • 面板
   • SSH

如果无法在您的系统上进行数字取证，很难确定，但我会冒险去猜测发生了什么：

1. 攻击者运行扫描程序寻找易受攻击的 Wordpress 安装。
2. 攻击者在您的服务器上发现易受攻击的 Wordpress。获取 RCE 作为网络服务器。
3. 转储 wordpress 数据库的密码哈希。
4. 破解密码哈希，其中一个与 WHM/CPanel 密码匹配。
5. 进入CPanel。也许作为管理员，或者 CPanel 的版本可能存在允许将权限升级到管理员的错误。

你谈到害怕报复和攻击者一次又一次地追捕你。除非这是个人的（某种仇杀），否则我不会担心。像这样的攻击者只会转移到他们下一个受感染的主机上。只是不要再给他们机会。

大卫的回答给出了一些很好的建议（我强烈建议您遵循）。我将把我的答案集中在你的具体恐惧上，希望能减轻它们。

我希望完成的是尽可能多地获取有关黑客的信息。我想下载我的旧备份。我想尽快进出。

你说你想获得尽可能多的关于这个人的信息。如果他们使用任何形式的匿名，这可能不切实际。当然，后期分析仍然很重要。第一步是对磁盘进行完整备份。如果您在系统受到攻击后尚未关闭系统，您还可以对系统上的内存进行快照，以便以后对其进行取证分析。内存将包含更多关于攻击者的信息，因为他们无法可靠地控制内存中的内容，但很容易阻止有价值的信息被保存到持久存储中。因此，您可能无法获取已禁用的日志，除非它们已经存在并随后被删除。

我的预防措施是留在 killswitched vpn 后面，并尽可能少地呆在那里。

由于 VPN 的架构，黑客可以使用多种方法来获取 VPN 背后的原始 IP。最好使用 Tor 或类似的匿名网络。花费尽可能少的时间可能是不可取的，因为您可能会错过一些重要的事情。多呆一会儿并不会增加你被发现的机会。黑客甚至可能认为您是另一个入侵利用相同漏洞的黑客。如果他们注意到您，那么无论他们认为您是谁，他们都会简单地将您与服务器断开连接。

无论如何，服务器端 SSH 日志可能包含您的家庭地址。

有没有办法以某种方式恢复这些禁用的日志？如果目标是收集足够的数据将这个人变成当局，我还应该看什么？

如果日志被禁用，您可能无法检索它们。如果它们仍然被写入但只是被删除，您可能能够从未分配的文件系统空间中恢复它们。除非系统自入侵以来没有关闭，并且您能够获取系统内存的完整快照，否则您不太可能能够检索到日志中提供的信息。

正如大卫已经提到的那样，您可能不会从执法中获得太多收益。获得此信息的最大好处是更多地了解黑客是如何闯入的，从而使您能够关闭他们利用的漏洞并在将来避免它。

我担心的是，即使使用重新映像的服务器和我能够进行的所有强化，这个人也知道我的站点域并且可能会再次攻击。我想这应该是一个单独的问题，但我是否应该准备好因为他的技能水平而不得不完全放弃我的领域？我讨厌这样做，但我担心他会尽其所能再次破坏服务器和站点，然后像以前一样继续破坏我的家庭网络和所有设备。

老实说，您不必担心遭到报复。你只是他们活动的随机抵押品，而不是精心挑选的受害者。他们可能甚至不会在一周内记住您的域名。当然，这些都是概括性的，如果你有一个真正的敌人对你有个人仇杀，事情就有点不同了。有一些可能适合您的攻击者的分类：

• 好奇- 出于好奇或想要提高黑客技能而闯入网站的黑客经常会这样做，而很少考虑他们行为的结果，但他们不会来抓你。如果你把他们锁在门外，他们可能会想办法重新进来，但他们可能不会生气。他们甚至可以将其视为挑战。

• 犯罪- 纯粹的犯罪黑客可以通过攻击服务器获得一些收益，例如金钱或数字资源。他们不会浪费时间报仇。这些攻击者就像水一样。他们寻求阻力最小的路径。

• 自动化- 很可能没有人攻击您的网站。犯罪企业想要最大化利润，因此为了提高效率，他们经常自动化攻击。脚本可能会扫描 Internet 以查找易受攻击的服务并对其进行攻击。闯入后，它会做他们的肮脏工作，并试图建立持久性。你不能让脚本生气。

• 脚本小子- 脚本小子是认为自己无所不知的初级黑客。他们更有可能寻求报复，因为他们可能会将您恢复服务器的行为视为个人行为。他们没有必要的技能来对您的家庭网络造成任何真正的伤害。他们能做的最糟糕的事情就是尝试对您进行 DDoS 攻击。不要担心他们。

• 私人敌人——如果你有一个真正的敌人对你有私人恩怨，你就需要担心更多了。由于您没有表明是这种情况，因此我认为不是。

很有可能他的技术水平并没有你想象的那么高。闯入 Wordpress 网站并添加后门并不需要专业人员。因此，我不会担心摆脱您的域。绝对有可能使用另一个答案中给出的建议来保护这个黑客。一旦其他人的网站比您的网站更容易受到攻击，黑客就会继续前进。

在这种情况下，您不知道攻击者是如何进入的，因此您应该担心即使完全重新安装也会再次发生完全相同的事情。为了解决这个问题，您应该配置您的系统以进行远程日志记录。专用的独立计算机保存无法篡改的系统日志。除了常规系统日志之外，您还应该配置您的 Web 服务器访问日志以将实时副本发送到日志服务器以及任何与安全相关的内容。原木应该是分开的，这样如果一个太大而需要修剪，就不会影响其他原木。

你不知道他们是怎么进来的。你自己的电脑可能被攻破，密码也可能被截获。VPS 提供商的某个人可能已经访问了它，或者有人在您的旁边租用另一个 VPS 可能已经利用了某些东西。假设这些事情没有发生，下一步可能是确保所有易受攻击的东西都在新安装时更新，然后配置安全软件，例如 SELinux。确保将 SELinux 策略违规发送到远程日志服务器。

大多数托管服务提供商都会提供一个小型操作系统映像（其目的是在客户需要一些自定义操作系统时促进初始操作系统安装，或者修复阻止操作系统启动的错误；通常称为“救援系统”或其他东西），您可以启动并访问受感染的 VPS，而无需启动攻击者可能放置的任何恶意软件。您只需挂载您的卷，复制所有必要的数据并在闲暇时检查它。

如果您无法做到这一点，您唯一需要担心的是不要授予攻击者任何进一步的攻击向量。不要从受感染的机器通过 SSH 连接到其他机器，确保您没有使用 SSH 代理转发、X11 转发等。只需 tar 有趣的文件，然后从本地计算机 scp tar 文件。或者，ssh -C root@compromised-host cat /dev/the-root-device >compromised-root-dev.img如果您知道如何处理图像，请执行类似操作。

或者也许只是要求托管服务提供商制作一个文件系统映像并以某种方式将其发送给您（这相当于我开始使用的相同过程）。