Non sono sicuro se questo dovrebbe andare in sicurezza o Ubuntu ma, credo che il mio server sia stato violato in qualche modo. Il suo essere ospitato su Digital Ocean e io lo uso principalmente per giocherellare con le cose. Oggi ho ricevuto una notifica da NewRelic che il mio server ha superato il 90% di utilizzo del disco. Effettuare l'accesso, eseguo un normale df -h per trovare questo:
Filesystem Size Used Avail Use% Mounted on
210.42.248.9:/public/home2 917G 826G 46G 95% /var/tmp/temp
Trovo strano perché non ho montato nulla di recente, ma da solo ho toccato il server in un paio di mesi. Posso visualizzare tutti i file nella condivisione ma nulla sembra essere utile. Solo un mucchio di binari e tars in cartelle. L'IP sembra essere dalla Cina. Oggi ho ricevuto la notifica, quindi ho controllato fstab e la cronologia degli account creati sul server. Non vedo nulla di strano ma, comincio a pensare di essere stato hackerato. So che questo è possibile ma come? Qualcuno ha mai visto qualcosa di simile? C'è qualcosa che posso fare per impedirlo?
Dettagli del server: account root disabilitato, porta ssh modificata, sono l'unico utente con accesso e non è stato effettuato l'accesso da mesi. Questo doveva essere successo oggi perché ho ricevuto l'avviso NewRelic stamattina.