Come riottenere l'accesso al server?

3

Ho un server Debian con KVM disponibile 24/7. Recentemente è stato suddiviso e la sua password di root è stata modificata.

Il mio provider di hosting ha ripristinato il mio accesso e mi ha aiutato a cambiare la password. Ma nel caso generale, come posso proteggermi dall'hacking e assicurarmi che questo non accada di nuovo? Inoltre, come posso recuperare l'accesso al server stesso?

    
posta Art Pip 17.01.2013 - 20:50
fonte

3 risposte

3

Sebbene ci sia molto che puoi fare per proteggere la tua scatola, ma credo che sia molto difficile assicurarmi che ciò non accada se il server non è gestito correttamente.

Bene, con la tua password di root cambiata, letteralmente il tuo server è di proprietà e diventa un'entità condivisa tra te e l'hacker che è un no no per gli amministratori di sistema.

Sul riottenere l'accesso al tuo server per una macchina Linux (il tuo dovrebbe essere un server vps, dedicato o il tuo server in colocation al provider di hosting, ma potrei sbagliarmi), credo che la solita risposta sia ssh? Se non riesci ad accedere al server ssh con le tue credenziali, potrebbe essere necessario contattare il tuo provider di hosting per aiutarti.

Dopodiché, devi scoprire il punto di ingresso su come l'hacker ha penetrato il tuo server (che è dove si trova la vulnerabilità).

Luoghi da guardare:

  1. Vulnerabilità sul codice di scripting lato server (php, asp, aspx, jsp, cfm ed ecc.)
  2. Vulnerabilità nei processi in esecuzione sul server (apache, ftp, server di posta, ssh)
  3. Etc (non elencato in quanto troppo ampio)

Come gestirlo:

  1. Traccia i log del tuo server per rilevare eventuali segni di incidente da hacking (se l'hacker ha già rimosso i log, non sei fortunato che potresti dover controllare i codici da solo) e correggere la vulnerabilità.
  2. Puoi fare un controllo su qui per qualsiasi vulnerabilità di 0 giorni digitando il nome del software e la versione di esso e attendere che il fornitore lo aggiusti o puoi correggerlo da solo (se sai come farlo).
  3. Etc (non trattato in quanto ci sono troppe soluzioni per diversi set di problemi)

Se sei riuscito a recuperare un backup dal tuo provider di hosting durante l'incidente di hacking, è consigliato che non lo ripristini e lo usi così com'è (basta recuperare il contenuto) come la shell può essere incorporata nel tuo codice e l'hacker può semplicemente accedervi e modificarla nuovamente.

La prossima volta, disabilita i processi che non ti servono (ad es. server di posta, ldap o ftp se non invii email o usi un servizio web per caricare i tuoi file) poiché aumenta la possibilità di essere hackerato (è possibile provare più vettori di attacco sul tuo server) o limitarlo solo al tuo IP (procurati un IP statico in cui raggiungi qualche metodo).

Sia che si tratti di nuke il tuo server o meno, è la tua chiamata anche se ti raccomando di nuotare.

    
risposta data 18.01.2013 - 09:09
fonte
3

Se un individuo poteva avere abbastanza controllo sul server da poter cambiare la password di root, allora è il proprietario della macchina e continua a possederlo anche se hai cambiato la password:

  • La vulnerabilità attraverso cui è entrato l'intruso esiste ancora fino a quando non la trovi e la risolvi, così può tornare a piacere.

  • La prima attività eseguita da un intruso a metà strada quando si entra in una macchina consiste nell'impiantare alcuni accessi aggiuntivi nel caso in cui il sysadmin cerchi di farla franca con alcune semplici procedure di pulizia sulla macchina. Questa è chiamata backdoor . Le persone con accesso root possono creare backdoor che non troveranno mai dalla macchina stessa (perché la backdoor include una modifica del kernel il cui compito è quello di nascondere la backdoor).

Quindi l'unica cosa sensata da fare con la tua macchina è fare ciò che è tradizionalmente chiamato in queste parti " nuke it dall'orbita ". Dovresti riformattare + reinstallare da zero. Scusate. Dura fortuna Per la tua prossima installazione, prova a scegliere password più forti e ad applicare gli aggiornamenti di sicurezza più spesso (dovresti mirare agli aggiornamenti giornalieri, per ridurre al minimo i rischi di compromissione).

Almeno, il vantaggio chiave dell'IT sulla medicina è che nel campo dell'IT non si fa causa per la riformattazione dei pazienti.

    
risposta data 17.01.2013 - 21:15
fonte
1

Allo stato attuale, la prima parte della domanda (su come proteggersi dall'essere hackerata) è probabilmente troppo ampia per un formato Q / A. La protezione di un server in generale è un argomento molto ampio in cui è presente un'intera industria. Sicuramente mantenere aggiornate le patch e limitare l'accesso al server per l'accesso più restrittivo possibile è un buon inizio, ma c'è molto di più.

Per quanto riguarda il modo in cui riottenere l'accesso, a condizione che non vengano crittografati dati, è in genere semplice avviare l'hardware con un altro sistema operativo come un LiveCD e quindi sostituire i file che definiscono l'utente con una password conosciuta. Ciò tuttavia non concede l'accesso a nessuna chiave di crittografia associata all'utente precedente. Se non hai accesso fisico alla scatola, le tue opzioni sono molto più limitate e molto più impegnative e non esiste una soluzione adatta a tutte le dimensioni.

Vale anche la pena di notare che se il tuo sistema è stato compromesso, semplicemente la modifica della password non risolverà il fatto che il tuo sistema è stato compromesso in primo luogo. A meno che tu non abbia semplicemente una password incredibilmente debole (e forse anche allora), qualunque cosa abbiano usato per accedere e qualunque cosa abbiano messo sul tuo sistema mentre avevano accesso può ancora permettere loro di riprendere il controllo di nuovo. La soluzione migliore è ricostruire il sistema dopo aver eseguito il backup di tutti i dati critici.

    
risposta data 17.01.2013 - 22:12
fonte

Leggi altre domande sui tag