Come sapere se un host è stato compromesso e re-protetto di nuovo? (caso particolare di un lampone) [duplicato]

Question

Come sapere se un host è stato compromesso e re-protetto di nuovo? (caso particolare di un lampone) [duplicato]

#1 da (4 voti)
#2 da (2 voti)

1

Sto eseguendo un PI lampone e ho lasciato accidentalmente la porta 22 aperta da un IP pubblico per circa 24 ore. La distro raspberry di Raspberries viene fornita di default con una password "pi" e una password "raspberry" quindi temo che possa essere stata compromessa.

Ho appena cambiato la password. Qual è il modo consigliato ora per verificare che non vi fosse alcun accesso all'intruso che avrebbe rimosso le sue impronte digitali (ad esempio rimuovendo le voci da /var/log/auth.log, ecc.)? Come posso verificare se non ha creato un utente che non era già presente di default nel sistema? C'è un modo per proteggere nuovamente il server senza la necessità di reinstallare il sistema operativo?

system-compromise raspberry-pi debian

posta knocte 27.12.2015 - 15:25

fonte

2 risposte

Leggi altre domande sui tag system-compromise raspberry-pi debian

SNI (indicazione del nome del server) con SSL Come provare l'integrità di un file digitale se i certificati non sono un'opzione

score 4 · Answer 1

È impossibile dimostrare che un utente malintenzionato non ha compromesso il tuo server. È sempre possibile che un utente malintenzionato abbia eseguito l'accesso e abbia installato malware che sarebbe rimasto indietro.

La cosa più sicura da fare è reinstallare il sistema operativo. Questo è l'unico modo in cui puoi veramente sapere che è un sistema operativo senza compromessi. La password per l'account deve essere modificata in modo che l'accesso pubblico non possa essere eseguito da un utente malintenzionato.

Guardando i miei registri di sistema, il mio server riceve circa 1000 accessi non validi al giorno con la maggior parte usando la radice del nome utente, ma alcuni usano pi.

score 2 · Answer 2

Is there a way to secure the server again without the need of re-installing the OS?

Se il dispositivo è stato realmente compromesso la risposta è: no

E di certo non c'è modo di essere sicuri al 100% che nessuno abbia effettuato l'accesso al tuo sistema in queste 24 ore, ma essere sicuri è solo il tipo più alto di probabilità possibile e possiamo parlare di probabilità.

Quando riteniamo che il tuo avversario potenziale sia stato licenziato da una persona intellegente, non sarai in grado di dimostrare che ha avuto accesso al tuo sistema anche quando lo ha fatto. Potrebbe aver alterato ogni logfile, la cronologia di bash, gli attributi del file system e le date che potrebbero indicare che qualcosa è successo, ... ma questi ragazzi sono piuttosto rari e spesso le persone dimenticano di porre una delle domande più importanti: < em> Sono vittima di un incrocio? Se devi rispondere a questa domanda con no, difficilmente sarai vittima di questo tipo di aggressore.

La maggior parte degli attacchi che avvengono a livello tecnico non vengono eseguiti da hacker altamente qualificati. Vengono eseguiti automaticamente da botnet o da scriptkiddies che analizzano milioni di host ogni giorno e sono fortunati a farla franca con una manciata di host compromessi. Questi avversari non sono così difficili da rilevare e inoltre non si sforzano di nascondere le loro attività perché vogliono la quantità e non la qualità.

Potresti chiedere al tuo fornitore di servizi se è stata stabilita una connessione ssh nelle ultime 24 ore. Se è un fornitore professionale, potrebbe essere in grado di dirlo. È inoltre possibile monitorare i processi eseguiti e il traffico generato quando non si utilizza attivamente il dispositivo. Ma tieni sempre lo sforzo a un livello appropriato .