Come faccio a sapere se l'account di root è stato compromesso?

2

Il mio server è stato violato con la sovrascrittura di alcuni file per generare collegamenti spam nella pagina dell'indice. Tutti i miei precedenti backup contengono gli stessi file modificati, rendendo il bombardamento dall'orbita un'opzione. Se la root del server non è stata compromessa, intendo solo cancellare l'infezione e monitorare ulteriormente. Quali sono i segni da controllare per determinare se la mia radice è stata compromessa?

    
posta user67892 07.02.2015 - 10:36
fonte

1 risposta

3

Il tuo computer è stato rootato se un utente non autorizzato (come definito? diventa difficile su sistemi con molti account) ha avuto accesso ad esso. Se JoeUser è un account con scarso accesso a qualcosa di importante (come definito da chi? Come viene monitorato il livello di importanza?) Non si può perdere molto, ma qualsiasi accesso non autorizzato (cioè ostile) ha il potenziale per ulteriori violazioni, dato il gli umani ordinari si comportano bene - vedi il film War Games per un account divertente e non troppo fantastico con il dramma, o il Cuckoo's Egg di Cliff Stoll per un resoconto molto più realistico, anche se ancora drammatico, della realtà. Le cose non sono migliorate molto da quando la piccola avventura di Stoll (e il browser / web / server / database live di Internet ha reso le cose molto più pericolose), e le risorse ufficiali (governative, corp., Org., ...) sono ancora senza tracce .

D'altro canto, se JoeUser è l'account di superutente locale, qualsiasi violazione è più o meno disastrosa, poiché tutto sulla macchina è in linea di principio completamente perso. Tutti i dati, tutte le informazioni di configurazione e probabilmente tutte le informazioni sulla connettività (topologia, tutte le password (se gli utenti sono stati folli), ...). Un utente malintenzionato vorrà probabilmente continuare ad avere accesso ai computer e così proverà a configurare il sistema in modo tale da eseguire normalmente, salvo che quando l'utente malintenzionato vuole l'accesso per ulteriori depredazioni, è ancora disponibile per lui.

Le tecniche utilizzate per queste cose sono varie quanto l'immaginazione delle persone e la bassa astuzia. Di solito sono chiamati rootkit. Dal momento che pochissime persone sono davvero brave in questo genere di cose, e dal momento che molti aggressori sono persone di livello scriptkiddie, le tecniche vengono spesso riutilizzate. Esistono diversi programmi di scansione del rootkit (alcuni buoni, altri meno buoni ...) che possono trovare le tracce lasciate da alcuni (forse molti) di questi schemi. Ma se lo scanner di rootkit scelto non è a conoscenza di qualsiasi tecnica di rootkit che è stata utilizzata sulla tua macchina, non ne sentirai più. O, peggio ancora, che dire della situazione in cui l'attacco di rootkit sul tuo computer non è rintracciabile cercando tracce sul tuo disco o sulla memoria della tua macchina, o è davvero nuovo e nessuno dei programmi di scansione di rootkit ha alcuna possibilità di trovare prove di esso?

Nella realtà attuale, non avrai generalmente tempo, né esperienza sufficiente sul tuo particolare computer (OS), per trovare tracce di rootkit che nessuno scanner può trovare. Pertanto, come pratica, l'opzione riformattare / reinstallare da media fidati / riconfigurare / test di accettazione / pregare è probabilmente l'unica con una reale credibilità.

Nel tuo caso, potresti non essere stato sottoposto a root. A seconda della configurazione del software del server, potrebbe non essere necessario l'accesso root per eseguire la distribuzione di spam che si segnala. Se è così, potresti essere in grado di riformattare semplicemente la partizione del server (se hat è come l'hai configurato) / reinstall / .... Configurazione inadeguata del server e delle sue risorse (file, accesso ai file eseguibili e altri account) i file (ad esempio, lettura sola per operazioni SSL, file di configurazione speciali, configurazione PATH exec nell'ambiente, ...) potrebbero essere stati il punto di ingresso.

Assicurati che il tuo server sia correttamente bloccato per impedire tale accesso, non un compito facile. Richiede tempo e competenza considerevoli per seguire board, libri, conferenze, ... per essere sicuri di essere all'altezza delle attuali migliori pratiche - che, naturalmente, possono avere vulnerabilità nascoste di cui nessuno al momento è a conoscenza.

Non ci sono risposte facili. non è disponibile e non lo sarà fino a quando gli standard di Internet saranno meno porosi di quanto non lo siano attualmente.

    
risposta data 08.02.2015 - 02:02
fonte

Leggi altre domande sui tag