"Droplet" digitalocean presumibilmente compromesso per un sito Web banale e non pubblicizzato. Dovrei essere preoccupato per la mia macchina?

2

Ho ricevuto un messaggio da D.O. sulla mia Droplet che dice di averlo spento perché c'era un sacco di traffico in uscita che sembrava un attacco. Il sito che avevo su quel server non era molto conosciuto. Sarei sorpreso se 20 persone l'avessero visto. Non è correlato al denaro o alle informazioni sensibili.

Supponendo D.O. ha ragione, quali sono le probabili fonti di questo attacco? Potrebbe essere attraverso la mia macchina che uso per ssh sul mio D.O. server con una chiave ssh? cioè, qualcuno potrebbe aver usato la mia macchina illegittimamente e da remoto per ssh sul mio Droplet? Sarei sorpreso se la mia stessa macchina fosse compromessa. Funziona con Linux e lo uso solo per lo sviluppo (niente pirateria, porno, ecc.). Devo reinstallare OS e pulire la mia macchina o è probabile che questo presunto hacker / bot sia entrato in qualche modo non correlato al mio computer?

So che non puoi saperlo con certezza nel mio caso, ma qualsiasi informazione generale su questo argomento potrebbe essere di aiuto. Grazie.

    
posta user45940 03.05.2014 - 23:16
fonte

3 risposte

1

La presenza di qualsiasi servizio su Internet porterà ad essere attaccato in una certa misura, dal momento che alcuni utenti malintenzionati sono alla ricerca di risorse gratuite (larghezza di banda, potenza della CPU) e non si preoccupano troppo di cosa c'è sull'host .

Supponendo di patchare il sistema operativo non è molto probabile che il servizio SSH sia stato compromesso direttamente, ma se si sta eseguendo un'applicazione Web, un difetto di sicurezza (ad esempio SQL Injection o Remote File Inclusion) potrebbe consentire all'utente malintenzionato prendere il controllo del sistema.

Supponendo che tu abbia dei backup la soluzione migliore sarebbe distruggere il droplet e ricreare il sistema, ma anche rivedere la sicurezza della tua applicazione web.

    
risposta data 02.07.2015 - 13:56
fonte
0

Essere uno sviluppatore ti rende più un bersaglio, non meno di uno. Gli sviluppatori (come i cattivi potrebbero aver dedotto correttamente nel tuo caso) spesso hanno credenziali di accesso sulle loro scatole per i sistemi che amministrano.

Se è facile per il tuo tubo flessibile, e sai che puoi ripristinarlo da fonti attendibili, provaci. Se vuoi fare un tuffo nella tua scatola, esegui più scanner AV; eseguire wireshark o un proxy e scoprire dove stanno andando le connessioni in uscita dalla tua scatola. Questo può essere difficile e dispendioso in termini di tempo, soprattutto in considerazione del crescente numero di app legittime che "telefonano a casa".

Quindi, ovviamente, esamineresti e / o flessibili il server, se D.O. ti lascerò.

Non si può dire perché o chi ti ha violato.

E cambia la tua chiave ssh.

    
risposta data 04.05.2014 - 01:59
fonte
0

Per essere sinceri: non esiste una cosa come un sito web non pubblicato . Ci sono robot che eseguono quotidianamente la scansione di tutti i numeri IP e cercano i server Web sulle solite porte.

Quando hanno trovato un server Web, possono provare alcune errate configurazioni errate o altre vulnerabilità per assumere il controllo del server. In caso di successo, possono inviare e-mail di spam o attaccare altri obiettivi su Internet.

Controllare la tua macchina domestica per intrusioni non è mai una cattiva idea, anche se penso che l'attacco sia andato direttamente al server web. Spero che le tue password per la macchina domestica e il server web siano diverse, altrimenti un compromesso del server web ha rivelato anche la password della tua macchina domestica.

    
risposta data 01.08.2015 - 22:08
fonte

Leggi altre domande sui tag