Intereting Posts
Как ограничить соединения aria2 с одним сервером, но разрешить одновременные подключения к нескольким серверам? Как регистрировать серийные данные с отметкой времени? Невозможно зайти в каталог в Debian 9 Почему обязательные утилиты POSIX не встроены в оболочку? Попытка распечатать полную строку из огромного файла с \ (коннектором для строк) Добавление записей в конец строки через awk Как let `sort | uniq -c` отделяет количество вхождений с помощью табулятора? Настройка разрешения консоли Linux не выполнялась конвертировать html-книгу в pdf-файл? Убивание фонового процесса в скрипте bash при выходе из скрипта Почему Apache работает на порту 8080 вместо порта 80? Удалите лишний разрыв строки из переменной альтернатива «dd», которая не обрезает файл Если реверс патча преуспевает, всегда ли это означает, что патч был полностью применен? Файловая система для совместного использования GIT-проектов между Windows и Linux

Debian Lenny Server скомпрометирован – нет знака точки вторжения?

У меня есть сервер, он устарел от Debian Lenny, и да, я знаю, что это, вероятно, половина проблемы. Он также имеет PHPMyAdmin и ProFTPd. Опять же, я понимаю, все плохие признаки.

Но для жизни я не могу понять, как этот пользователь входит в систему и добавляет файлы и выполняет команды.

Они могут запускать сеансы screen и набирать такие вещи, как nano file.sh а затем создавать сценарий и ./file.sh для его выполнения. Означает ли это, что у них есть доступ к SSH? Я не понимаю.

Я проверяю все мои файлы журналов, и нигде ничего не показывает успешную аутентификацию. Я проверяю users , who , last , каждую маленькую команду, которую я могу напечатать, – ничто не показывает никаких признаков того, что кто-то вошел в систему.

Время от времени я замечаю, что они создают новые каталоги, а владелец – 500 или 1XXX , но эти учетные записи не отображаются, когда я их ищу.

Есть ли что-то, что я могу сделать, чтобы понять, что wtf продолжается? Мы собираемся стереть сервер с чистого листа, не поймите меня неправильно, но я хотел бы знать, что именно произошло, поэтому я могу избежать такой проблемы в будущем.

Я не хочу никаких рекомендаций относительно «не использовать phpmyadmin, старые неподдерживаемые дистрибутивы, ftp и т. Д.», На нашем новом сервере у нас не будет ничего небезопасного и будут использовать пароли SSH Auth и т. Д.

Я просто хочу немного понять, как я могу знать, когда пользователь вошел в систему и откуда они вошли. Конечно, я, вероятно, не даю достаточно информации, но, возможно, что-то щелкнет для кого-то? Благодарю.

Большинство сценариев и ручных прерываний:

  • очистить записи журнала и аналогичные следы взлома
  • установите руткит, который позволяет входить в систему вне серверных программ по умолчанию
  • замените программы по умолчанию (например, ps, netstat, ls и т. д.) с управляемыми версиями, которые скрывают любую активность вышеупомянутого руткита (то есть ps не покажет запущенный руткит-процесс)

Иногда эти атаки являются дефектными и оставляют следы. Но в любом случае: вы не можете доверять никаким диагностическим инструментам, которые у вас есть в системе.

Если вы хотите немного поиграть и научиться, вы можете:

  1. Установите и запустите «rkhunter» [*], например, который проверяет известные руткиты, но вы не можете доверять выводу без:

    • пропустив его хотя бы один раз до того, как произошел прорыв
    • надеясь, что атакующий проигнорировал установку rkhunter в системе (не манипулировал самим rkhunter)
  2. Загрузка с аварийного CD / USB

    • Установите системные диски и осмотрите их с помощью двоичных файлов системы спасения
    • сравнивая md5sums двоичных файлов с версией запаса.
    • загрузить систему в виртуальную машину и проверить сетевой трафик

tl; dr: Почти невозможно обнаружить вектор атаки на такой открытой системе. Так или иначе:

Пожалуйста, будьте ответственны и берете систему с интернета как можно скорее и настройте ее с нуля.

[*] или других систем IDS, их много.

Даже если ваша новая серверная операционная система упрочняется до n-й степени, и вы используете последнее исправленное программное обеспечение и не имеете больше текстовых сервисов; они просто могли получить доступ к старому серверу через веб-приложение, работающее на сервере, например, инъекцию SQL или загрузку файлов. Таким образом, вы можете получить право собственности снова, если вы разворачиваете одно и то же приложение на новом сервере.

Поэтому я бы порекомендовал вам обзор кода (хотя я также рекомендую «и») выполнить тест проникновения веб-приложений в веб-приложение, используя кого-то, кто профессионально выполняет этот вид тестирования / предлагая сообществу ошибку, чтобы сделать это за вас. И что вы регулярно проводите исправление, сканирование уязвимостей и ручное тестирование – не реже одного раза в год или при изменении программного обеспечения, в зависимости, конечно, от того, насколько вы оцениваете услугу, которую предоставляет сервер / приложение.

PS, пока ваш сервер отключен, подумайте о том, чтобы взять его изображение и запустить вскрытие на изображение, чтобы создать временную линию для взлома (ов) – концентрат идентификаторов пользователей, которые вы видели 500, 1xxx. Я подозреваю, что вам будет полезно узнать, как проводить судебно-медицинские экспертизы, особенно если вы, скорее всего, будете снова нацелены. Хотя, как указывалось в более ранних ответах, хак, возможно, покрыл их дорожки и изменил библиотеки ключей и исполняемые файлы, чтобы оставить ложную временную линию. Снова вы можете MD5sum исполняемые файлы и библиотеки на изображении и сравнить их с оригинальными версиями, чтобы узнать, беспокоились ли они о том, чтобы покрыть их треки.

Давайте параноидально! Прежде всего, выключите этот Linux и используйте команду dd, чтобы сделать полную копию дисков.

Система напрямую подключена к Интернету? Если нет, это хорошо, вы можете начать обнюхивать его трафик, поэтому мы можем определить некоторые полезные вещи. Если да, попробуйте поместить некоторую машину между ним и Интернетом. Почему бы не понюхать прямо внутри машины? С руткитом можно было бы стать невидимым для обнюхивания, и наши усилия будут пустой тратой времени.

Я настоятельно рекомендую вам извлечь всю вашу информацию, код, базы данных и вручную просмотреть все, чтобы убедиться, что на нем нет бэкдоров.

Восстановите аналогичную машину с той же версией каждого lib, а затем сканируйте всю систему, вычислив хэш всего, используйте SHA1 или SHA2, с MD5 мы можем легко вычислить столкновения, мы параноики, помните об этом! Сравните оба списка, плюс, попытайтесь обнаружить любой необычный параметр на grub / lilo, загрузку любого странного модуля.

Также проверьте пользователей и ssh. Проверьте исходный код на наличие ошибок, например, он может запускать код как apache и оставлять бэкдор для эскалации привилегий для пользователя root.

Все проверки должны выполняться с использованием изображений диска в автономной среде.

Возвращаясь к вашему обнюхивающему сеансу, попробуйте обнаружить какой-либо необычный трафик. Если ваша машина была скомпрометирована, возможно, она будет использоваться для чего-то незаконного, такого как DDoSing или являющегося стержнем для другой атаки.

Как только вы обнаружите, откуда подключается атакующий (я уверен, что он использует TOR), и как он подключается, вы можете начать отслеживать его. Определите, является ли это автоматическим скриптом или реальным пользователем, который контролирует ваш сервер. Вы можете загружать и изменять bash / sh / zsh или какую оболочку использует ваш злоумышленник для сохранения журналов, даже если пользователь отключил эту переменную. Сделайте то же самое с SSH, измените код, чтобы создать где-то еще, журнал с запущенными процессами и логины. Если он подключается с помощью бэкдора (это наиболее вероятно), попробуйте определить, как он работает, и определите, для чего он использует ваши системы.

Почему? Потому что, если он делает что-то незаконное, скорее всего, кто-то его проследит, и найдет вас на пути. Лучший способ не допустить, чтобы вы столкнулись с серьезными проблемами, – это свидетельство того, что происходит, и после этого попытайтесь закрыть эту среду и получить хорошего адвоката.