Filemount non identificato in Ubuntu

2

Non sono sicuro se questo dovrebbe andare in sicurezza o Ubuntu ma, credo che il mio server sia stato violato in qualche modo. Il suo essere ospitato su Digital Ocean e io lo uso principalmente per giocherellare con le cose. Oggi ho ricevuto una notifica da NewRelic che il mio server ha superato il 90% di utilizzo del disco. Effettuare l'accesso, eseguo un normale df -h per trovare questo:

Filesystem Size Used Avail Use% Mounted on
210.42.248.9:/public/home2 917G 826G 46G 95% /var/tmp/temp

Trovo strano perché non ho montato nulla di recente, ma da solo ho toccato il server in un paio di mesi. Posso visualizzare tutti i file nella condivisione ma nulla sembra essere utile. Solo un mucchio di binari e tars in cartelle. L'IP sembra essere dalla Cina. Oggi ho ricevuto la notifica, quindi ho controllato fstab e la cronologia degli account creati sul server. Non vedo nulla di strano ma, comincio a pensare di essere stato hackerato. So che questo è possibile ma come? Qualcuno ha mai visto qualcosa di simile? C'è qualcosa che posso fare per impedirlo?

Dettagli del server: account root disabilitato, porta ssh modificata, sono l'unico utente con accesso e non è stato effettuato l'accesso da mesi. Questo doveva essere successo oggi perché ho ricevuto l'avviso NewRelic stamattina.

    
posta deltra 09.06.2015 - 01:59
fonte

1 risposta

1

Innanzitutto, hai contattato il supporto tecnico ? Se c'è un'indagine forense da eseguire, non dovresti interferire con il tuo server ma segnalarlo e lasciargli fare il loro scavo.

In secondo luogo, supponendo che il supporto tecnico non voglia o non possa aiutare, il fatto che tu abbia ricevuto la notifica il giorno X non implica che la montatura sia avvenuta il giorno precedente. Da quello che stai scrivendo, la notifica ti informa sull'utilizzo del disco locale e l'output mostra una montatura remota. La notifica è attivata per tutti i supporti o solo per i supporti locali?

In terzo luogo, guarda nei registri e vedi se riesci a trovare qualcosa di sospetto tra cui errori di montaggio, accessi da root o altri account nei due mesi in cui sai di non aver toccato il server. Potresti dare un'occhiata al contenuto del mount remoto e find del primo file creato dall'utente (sembra una montatura NFS quindi presumo che ci sia la parità dell'utente tra il tuo e il sistema remoto).

    
risposta data 09.06.2015 - 07:54
fonte

Leggi altre domande sui tag