Avvio alternativo del server debian Hacked

3

Il server di un cliente è stato violato la notte scorsa. È una distribuzione debian standard con mysql, apache e ssh per l'accesso remoto.

Il modo in cui è stato violato è molto particolare. L'URL standard mostrava una pagina di deface con link a nethack.alt.org. Ho cercato l'intero disco e non sono riuscito a trovare i file che sarebbero appartenuti a questa pagina danneggiata (bg.jpg es.). Inoltre, il servizio ssh e mysql non erano accessibili. Il semplice riavvio non ha aiutato.

Vedo due possibili scenari:

  1. Gli hacker in qualche modo hanno installato un sistema parallelo che è stato avviato al posto del debian originale.
  2. In qualche modo hanno reindirizzato tutto il traffico verso un altro server (indirizzo ip troppo, non solo dns)

Qualcuno ha esperienza con questo tipo di attacco? Dove posso cercare file compromessi?

Nota: reinstallerò l'intero sistema da zero, ma mi piacerebbe sapere come sono arrivati, quindi posso prevenirlo in futuro.

Modifica: informazioni aggiuntive. Questa linea è l'ultima del mio syslog quando il sistema canaglia si stava avviando al posto di quello reale.

Jan 21 08:33:09 Debian-76-wheezy-64-minimal kernel: [   17.223513] nf_conntrack version 0.5.0 (16384 buckets, 65536 max)

In un normale avvio il mysql viene avviato in quel punto:

Jan 21 09:12:12 Debian-76-wheezy-64-minimal mysqld_safe: Starting mysqld daemon with databases from /var/lib/mysql
    
posta Bojan Hrnkas 21.01.2016 - 10:25
fonte

1 risposta

3

Dal post e dal seguente dialogo:

La macchina è una Debian wheezy / 7.0 che in modo particolare non ha visto aggiornamenti per circa due anni. Ci sono registri mancanti, che indicano che gli attaccanti hanno ripulito le tracce della loro attività. L'OP lamenta un comportamento divergente, che corrobora l'ultima ipotesi. [e la pagina compromessa]

Per quanto riguarda il periodo di tempo senza aggiornamenti, ci sono stati più fori, remoti e locali, a livello di kernel, e in demoni. Vulnerabilità in IPv6, ICMP, ssh e così via. Gli aggressori potrebbero effettivamente essere ottenuti praticamente ovunque nel sistema.

Si consiglia vivamente di uccidere questa macchina.

Gli hacker spesso installano anche moduli del kernel per nascondere le loro tracce. Se desideri eseguire un'analisi post-morten , avvialo con un Live CD / DVD e scarica il disco con dd su un DVD per analizzarlo.

Per quanto riguarda le raccomandazioni per il futuro:

  • Regole per utilizzare nuove versioni del sistema operativo;

  • una politica di aggiornamento ragionevole. Nessuna macchina, il meglio che può essere configurato, resisterà ad un attacco senza la sicurezza regolare aggiornamenti;

  • difendere il principio Unix di installazione dei servizi minimi necessari;
  • Creazione di criteri firewall, è sufficiente esporre a Internet le porte essenziali;
  • Installa un'applicazione WAF, ad esempio, modsecurity if utilizzando Apache;
  • aggiorna regolarmente i tuoi CMS, Joomla, wordpress e Drupal hanno più buchi di un formaggio svizzero;
  • Considera l'analisi dei contenitori, ovvero Docker;
  • Seguire le pratiche di programmazione standard per evitare attacchi di livello 7 come le iniezioni SQL;
  • Monitora l'utilizzo e le attività insolite;
  • Tieni backup regolari.
risposta data 21.01.2016 - 12:20
fonte

Leggi altre domande sui tag