Dovrei essere preoccupato se l '"FBI" ha effettuato il login sul mio Ubuntu VPS?

Un indirizzo IP può essere impostato in DNS per risolvere qualsiasi nome host, da chiunque abbia il controllo di tale indirizzo IP.

Ad esempio, se ho il controllo del netblock 203.0.113.128/28, allora posso impostare 203.0.113.130 per risolvere il problema in presidential-desktop.oval-office.whitehouse.gov . Non ho bisogno del controllo di whitehouse.gov per fare ciò, anche se può aiutare in alcune situazioni (in particolare, con qualsiasi software che controlli per assicurarsi che la risoluzione di inversione e marcia corrisponda a ). Ciò non significa che il presidente degli Stati Uniti abbia effettuato l'accesso al tuo VPS.

Se qualcuno ha accesso al tuo sistema, può modificare la configurazione del resolver che consentirà effettivamente di risolvere qualsiasi nome con qualsiasi indirizzo IP o qualsiasi indirizzo IP con qualsiasi nome. (Se hanno quel livello di accesso, possono provocare anche altri tipi di devastazione con il tuo sistema.)

A meno che e fino a quando non verifichi che l'indirizzo IP che è stato utilizzato per l'accesso sia effettivamente registrato all'FBI, non preoccuparti che il nome host sia uno sotto fbi.gov . Quella mappatura dei nomi potrebbe benissimo essere falso Preoccupati invece che sul tuo account sia stato effettuato correttamente un accesso che non puoi spiegare, da un indirizzo IP che non riconosci.

È probabile che se l'FBI volesse i dati sul tuo VPS, utilizzerebbero un approccio un po 'meno ovvio per ottenerlo.

Dovresti preoccuparti, ma non del nome host fbi.gov.

Vai a leggere Come gestisco un server compromesso? su Server Fault e Come spieghi la necessità di "nuke dall'orbita" alla gestione e agli utenti? qui su Information Security. Davvero, fallo. Fallo ora; non metterlo fuori.

Penso che tu debba essere preoccupato se qualcuno ha accesso non autorizzato al tuo server. Come altri hanno menzionato, non c'è molto lavoro per simulare il nome host DNS inverso. Forse vogliono che tu creda che per un'agenzia governativa sia consentito avere accesso al tuo server in modo da non indagare più sull'incidente.

È necessario eseguire il backup di tutti i log del server per un'analisi successiva e preferibilmente ricostruire il server per eliminare tutti i rischi che un server compromesso potrebbe causare. Successivamente, con l'aiuto di un esperto, è necessario configurare il server con le migliori pratiche e precauzioni di sicurezza.

Quindi dovresti essere preoccupato se fosse l'FBI, o è ok se fosse solo un hacker occasionale? Dai log, qualcuno ha eseguito correttamente l'accesso a un host che controlli. Dovrebbe essere assunto compromesso indipendentemente da chi fosse. Scarta e ricostruisci.

Ricorda inoltre che una voce DNS inversa può essere creata da chiunque abbia il controllo di un blocco IP specifico. Non ha bisogno di risolversi in qualcosa che controllano, cioè, se controllo un blocco IP, posso creare una voce inversa a chiunque io scelga. Le voci in retromarcia e in avanti non devono corrispondere e sono spesso gestite da persone diverse.

Uccidilo col fuoco. Come ieri.

L'FBI DITU o qualsiasi altra cyber unit da qualsiasi Zuppa di alfabeto per includere l'esercito CYBERCOM è NOT nel business di accedere semplicemente al tuo sistema da fbi.gov, qualcuno sta giocando uno scherzo su di te - no investigatore serio / TF sta facendo qualcosa di apparente.

Ciò di cui ti devi preoccupare è come qualcuno con una conoscenza skiddie superiore alla media abbia avuto accesso al tuo VPS e l'abbia fatto.

Ritorno al primo punto: distruggerlo.

Prendi dal punto di vista umano.

Non è dell'FBI. L'FBI sa che è meglio accedere da fbi.gov.

MA il punto principale è , chiunque effettui l'accesso al tuo sistema non autorizzato dovrebbe essere analizzato. La mia raccomandazione sarebbe quella di spostare il sistema altrove e sostituirlo con un sistema solo per l'analisi forense. Getta un honeypot per distrarre l'hacker in modo da poter registrare le loro mosse.

Hai due modi:

1. È un hacker che ha accesso alle tue credenziali per accedere al tuo VPS.
2. L'FBI ha accesso a tutti i server di hosting e devi ricevere una risposta dalla tua società di hosting, ma non credo.

Analizza i tuoi file di backup e controlla se la tua configurazione è sicura, l'utente root può connettersi o meno, hai creato un utente specifico per l'accesso ssh o non ecc.

Cambia la tua password SSH e controlla ogni settimana se un'attività sospetta sul tuo VPS.

Normalmente, un hacker proverà a nascondere la sua identità. In genere non usano un indirizzo IP per i loro attacchi che si risolveranno nella loro vera identità. Quindi fbi.gov è falso.

D'altra parte, i servizi segreti sono stati conosciuti per "accidentalmente" trapelare il fatto che stanno osservando qualcuno, al fine di indurre la persona o l'organizzazione a entrare in panico, commettere errori o semplicemente fuggire dal paese.

Dai un'occhiata alla finestra. c'è un furgone sospettosamente innocuo parcheggiato fuori dal tuo edificio? Qualcuno che assomiglia ad Agent Smith di Matrix?

Probabilmente no.

Supponiamo che il tuo sistema sia compromesso. L'hacker potrebbe non avere ancora niente di speciale, ma esiste un mercato per server che può essere utilizzato per scopi illegittimi. Potrebbe ospitare pornografia infantile in un'ora o giù di lì (se non l'hai ancora imbalsamato).

Sarei più preoccupato per l'integrità del tuo sistema che per l'accesso all'FBI; per quanto riguarda lo spoofing DNS o la definizione di fbi.gov inverte, ahimè, è molto più facile per l'utente malintenzionato riscrivere il suo indirizzo "reale" con un "fbi.gov" nei campi indirizzo di /var/log/wtmp e /var/log/lastlog . La struttura dei campi di questi file è stata documentata per decenni.

Sarei più preoccupato per il fatto che tu sia stato hackerato, per giocare con i tuoi registri per impiantare fbi.gov e veri indirizzi FBI, c'è bisogno di un accesso root per i file di cui sopra.

Sembra probabile che il tuo VPS sia stato seriamente compromesso, smaltirlo e reinstallarlo di nuovo.

Come la gente ha detto ... nuke it. Questa è anche una buona ragione per cui dovresti eseguire regolarmente il backup di tutti i dati non inseriti in un sistema tramite una reinstallazione in un'altra posizione.

In secondo luogo, dopo la reinstallazione, assicurati che qualsiasi account che ha una password abbia una password molto sicura. Usa qualcosa come keepass per generare una stringa casuale lunga per qualsiasi password diversa da quella che usi per il tuo utente principale. Uso 16+ password di caratteri casuali anche su macchine inaccessibili al di fuori del mio firewall, e i miei host bastione sono ora più di 24, poiché non si dovrebbe mai accedere direttamente come root (questo non include l'uso di chiavi ssh autorizzate), né si dovrebbe usare su. Se devi fare qualcosa di diverso da un'urgente emergenza, stai facendo qualcosa di sbagliato.

Infine, per quanto riguarda le chiavi SSH ... tutte le chiavi che uso attraverso il selvaggio west di Internet stesso, non uso mai meno di 2048 bit di bit e utilizzo principalmente 4096 bit o più.

Tutto questo non ti proteggerà da qualcuno che ottiene l'accesso di root attraverso la backdoor attraverso alcuni processi come sendmail (come ho fatto anni fa quando ero responsabile di UN * X in CompuServe), quindi cambiando una password, per poi venire nella porta principale, né ti proteggerà da un qualche tipo di malware che hai finito nell'esecuzione sulla macchina per aprire le cose, ma andrà benissimo per rafforzare il tuo sistema.

Oh ... e tutto questo riguarda il reverse DNS spoofing ... questa è una delle ragioni per cui i file di dati usati da comandi come last comprendono spesso l'indirizzo IP, e perché tutti i log per i servizi dovrebbero anche registrare l'indirizzo IP. Un last -i visualizzerà l'indirizzo IP stesso e non eseguirà il DNS inverso. Altri comandi hanno bandiere simili.

Sarei preoccupato se il vero FBI fosse incompetente a commettere un simile errore. I veri hacker presumerebbero che si ricostruisse se lasciassero conoscere la loro presenza. Sono bambini o aspiranti sciatti che giocano.