Linode utilizza Xen , il che significa che non hai solo un'app; hai un intero sistema operativo, completo di kernel e librerie di base. L'attacco proviene dal tuo sistema, quindi è completamente nella tua giurisdizione. L'hacker ha inserito il tuo sistema in qualche modo, ma una volta lì, se è almeno per metà competente, ha usato un rootkit per trasformare la sua irruzione in un'installazione permanente. Il rovescio della medaglia è che un sistema rootkit non verrà visualizzato dall'interno del sistema: il kernel sarebbe stato infetto e non mostrerà il processo di attacco dagli aggressori.
(Sto usando qui l'ipotesi che una volta che l'aggressore è entrato, potrebbe aumentare i suoi diritti a livello di root - questa è l'ipotesi prudente, perché i sistemi operativi sono raramente solidi contro gli attaccanti locali.)
Ciò implica che il tuo sistema dovrebbe essere cancellato e reinstallato da zero; è stato compromesso e non ci si può più fidare. A quel punto avresti due obiettivi:
- Scopri come è arrivato l'autore dell'attacco, in modo che non lo faccia più nel sistema appena reinstallato.
- Convinci le persone di Linode che sei una vittima, non un complice.
Per il primo punto, questa è una questione di analisi di tutti i log e di altre tracce che possono essere trovate nel tuo sistema. Quindi, prima di raschiare, prendine una copia completa (preferibilmente una copia byte per byte del suo disco rigido virtuale) per ulteriori analisi. Ma ricorda che se l'attaccante è ragionevolmente buono, ha coperto le sue tracce (questo è ciò che i rootkit sono per). Inoltre, alcuni controlli del codice dell'applicazione sarebbero in ordine: l'utente malintenzionato ha inserito in qualche modo tramite uno dei servizi accessibili esternamente del server, che include l'applicazione. Un'altra possibilità è che l'utente malintenzionato abbia indovinato la password dell'account SSH (dopo tutto, sai che questo che fa esegue attacchi a forza bruta sugli accessi SSH): sul tuo nuovo sistema , usa una password nuova, più grande, più casuale (non scriverla sul tuo sistema attuale! È compromessa, quindi probabilmente acquisisce le modifiche della password al volo).
Per il secondo punto, questa è una questione di fiducia e relazioni umane. Non puoi dimostrare che non sei l'attaccante; ma i Linode sanno che i sistemi dirottati sono purtroppo una realtà comune. Basta esercitare la due diligence, come reinstallare il sistema da zero: affrontare questo noioso compito farà molto per stabilire la tua buona fede in questa materia.