Intereting Posts
Насколько велико img, созданный dd? SSH во многие системы с ключами RSA без кода доступа Как отправить AT-команды на последовательный интерфейс в Yocto Linux? Разрешение гостевой ОС (слишком маленький текст) в рабочей станции vmware 12 Почему eth0 запускается только вручную в новом Suse 12.3? Я не знаю, как подключить предварительно сконфигурированный маршрутизатор OpenWRT к моей домашней сети Прогресс md5sum при передаче по трубопроводу Где я размещаю информацию для Django в Apache2 в Ubuntu Можно ли получить привязку к записи на внешний диск? Интерфейс терминатора внутри эмулятора tilda? Использование sudo без ввода sudo более одного раза за сеанс sudo? LAN-сервер с двумя сетевыми картами, не может telnet / ping ко второму, даже если он работает Может ли кто-нибудь помочь мне в наклонении сценариев bash? Shell script – команда всегда отображает использование перед выполнением Потерянные заголовки окон и все после выбора темы плохого окна в Linux Mint

Был ли скомпрометирован мой Unix-сервер?

Кто-то спросил, является ли это причиной взлома и задается вопросом, был ли скомпрометирован их сервер.

12 января 04:16:51 foo sshd [26725]: Пароль с ошибкой для root из 61.174.51.207 порт 1076 ssh2
Jan 12 04:16:54 foo sshd [26822]: Отключение: слишком много ошибок аутентификации для root
Jan 12 04:16:54 foo sshd [26825]: Пароль с ошибкой для root из 61.174.51.207 порт 1076 ssh2
12 января 04:16:54 foo sshd [27324]: PAM еще 5 ошибок аутентификации; logname = uid = 0 euid = 0 tty = ssh ruser = rhost = 61.174.51.207 user = root "secure" 229L, 24376C

Как можно начать диагностировать, был ли скомпрометирован их сервер?

Ложные сигналы

В приведенном выше журнале показано, что кто-то пытался проникнуть в систему, но они не увенчались успехом. Эта строка показывает, что они пытались и не выполняли 5 раз SSH в систему как root.

PAM еще 5 ошибок аутентификации …

Если вы видите такие сообщения в своих журналах, вам полезно их исследовать, чтобы вы понимали, что они означают, но также не слишком беспокоятся о них.

ПРИМЕЧАНИЕ. Этот тип болтовни в журналах часто называют ИБР (Интернет-фоновое излучение) или IBN (Интерференционный фоновый шум) .

Убедившись, что тебя взломали? – Как диагностировать

Будучи тем, кто работал с ФБР однажды, в прошлом, это были следующие вещи, которые я сделал, чтобы диагностировать сервер, который был скомпрометирован. Они не имеют особого порядка!

  1. Немедленно снимите систему.

  2. Если вы подозреваете, что система была скомпрометирована, вы больше не можете доверять никакому программному обеспечению на этом сервере. Поэтому используйте альтернативные инструменты, то есть либо завершите работу сервера, либо подключите диск, либо загрузитесь с известного хорошего компакт-диска / USB.

  3. Журналы, возможно, были подделаны, но начните анализ, тщательно изучив их для аномалий.

  4. Архивируйте систему. Если вы не поддерживаете его, сделайте это сейчас.

  5. Обратный инженер, как злоумышленники проникли, чтобы вы понимали уязвимости и могли блокировать их в будущем.

  6. Храните архивированный набор системы, вовремя, чтобы сотрудники правоохранительных органов могли показать вам информацию о вашей системе.

  7. Обращайте назад любые задние двери и / или программное обеспечение, установленные злоумышленниками, чтобы вы могли понять, какие гнусные цели использовала ваша система для злоумышленников.

  8. Выполните анализ с использованием скопированных данных.

  9. При переустановке убедитесь, что вы не переустанавливаете скомпрометированные данные или уязвимый код.