Possiamo sapere che cosa ha fatto finora l'hacker nel suo tentativo?

Naviga le tue risposte
1

Ho scoperto "accidentalmente" durante la ricerca nella mia cronologia dei comandi, che qualcuno ha pubblicato questi: 

passwd
w
cat /proc/cpuinfo
free -m
uptime
w
perl v.py
python v.py
chmod +x *
./a 94.10

e questi: 

./a 52.30
rm -rf scan.log sparte.txt
./a 208.43 22
./a 208.43
rm -rf md
chmod +x *
rm -rf scan.log sparte.txt
./a 31.79 22
rm -rf scan.log
./a 163.172 22
rm -rf scan.log
./a 212.1
./a 212.1 22
rm -rf scan.log
rm -rf scan.log sparte.txt
./a 212.219 22
w
chmod +x *
rm -rf scan.log sparte.txt
./a 185.61 22
w
chmod +x *
cat sparte.txt
rm -rf scan.log sparte.txt
./a 81.102 22
./a 212.1 22
cat /proc/cpuinfo
free -m
rm -rf scan.log sparte.txt
chmod +x *
./a 31.220 22
rm -rf scan.log sparte.txt
./a 78.47 22
rm -rf scan.log sparte.txt

L'apparentemente un intruso di noob (hacker) che non ha cancellato i log ha sfruttato una password debole per ssh nel mio server come ha provato con root: 

Apr  1 06:35:39 ns346721 sshd[6641]: Failed password for root from 42.7.26.49 port 19029 ssh2

Ma riesci qui

Apr 3 21:36:54 ns346721 sshd[26814]: Accepted password for [USERNAME] from 176.223.29.2 port 52054 ssh 2

Nella cartella principale dell'utente designato, l'intruso ha caricato / generato alcuni file: 

/home/[USERNAME]/f
├── /home/[USERNAME]/f/a
├── /home/[USERNAME]/f/brute
├── /home/[USERNAME]/f/hu
├── /home/[USERNAME]/f/mass
├── /home/[USERNAME]/f/passfile
├── /home/[USERNAME]/f/scan.log
└── /home/[USERNAME]/f/vuln

che immagino che alcuni di essi fossero l'output di un file python in /home/[USERNAME]/v.py che dopo la mia ricerca ha il contenuto di questo link

e il file 'a' : 

#!/bin/bash
./brute 800 -b $1 passfile $2 "uname -a"

Sfortunatamente non è leggibile nulla sul file 'brute' in quanto ha un contenuto binario.

Quando ha scoperto il problema, un processo con [USERNAME] era ancora in esecuzione; quindi l'ho appena finito.

Cosa ho fatto:

  • Modificata la password per l'utente di destinazione [USERNAME]
  • Disabilitato ssh per tutti gli utenti tranne root (so che non dovrebbe essere neanche).
  • Ha ucciso tutti i processi sotto l'utente [USERNAME]

Ora la mia preoccupazione principale è sapere cosa ha fatto finora questo intruso sul server.

Esiste una procedura consolidata per controllare e pulire i file e i processi dannosi?  -

    
posta elsadek 07.04.2018 - 13:54
fonte

1 risposta

4

Ad un livello elevato, ciò che stai cercando è chiamato un piano di risposta agli incidenti. Idealmente, la tua organizzazione avrà creato una politica di sicurezza delle informazioni, e questo sarebbe uno degli elementi raccomandati nella politica.

Il NIST ha un buon piano che puoi guardare e seguire: il Gestione degli incidenti e risposta Guida .

Al livello inferiore, sei ancora nel bel mezzo di un attacco. Non puoi essere sicuro che l'attaccante non abbia creato una porta sul retro da qualche parte nella tua rete. Prendi in considerazione la possibilità di ingaggiare una società di sicurezza professionale per garantire che la tua risposta sia adeguata per la tua organizzazione.

    
risposta data 07.04.2018 - 14:10
fonte

Leggi altre domande sui tag

Qual è il significato di Spectre e Meltdown? Quali sono i vantaggi di registrare il nome utente di un tentativo di autenticazione fallito?