Il mio server è stato compromesso? [duplicare]

1

- grazie a tutti è stato risolto, vedi la mia risposta qui sotto -

Ho creato un server Debian / OpenVPN diversi mesi fa per uso privato ma negli ultimi due giorni ho notato qualcosa di estremamente inquietante e strano.

Succede solo con una singola ricerca su google, ma può essere ricreata solo quando è connessa tramite OpenVPN. Ho già provato a cambiare server DNS / computer diversi / etc ...

Questo è ciò che accade:

Vado a news.google.com, cerca la stringa "russia syria". Quando faccio clic sul link "Esplora in profondità", viene visualizzata una pagina di risultati.

Tuttavia, questa pagina ora sembra includere i link che reindirizzano a "search.news.cn".

Sembra solo farlo per questa particolare ricerca.

Quando accedo alla pagina di google tramite wget sul server, estrae il codice HTML includendo link simili.

Il server OpenVPN si trova in Canada e non sono in Cina.

Qualche idea su cosa potrebbe succedere?

  • Ho anche eseguito rkhunter che non ha rilevato minacce
posta KauriNZ 20.10.2015 - 12:38
fonte

3 risposte

1

Sembra che i server DNS che sono stati spinti dalla configurazione del server OpenVPN non siano stati utilizzati dai client. Invece i server DNS elencati nei server /etc/resolv.conf erano ancora in uso.

Questi server sono stati configurati sui valori predefiniti per il mio provider di server cloud. Una volta modificata, l'iniezione si è interrotta.

Se alcuni sistemi sono stati compromessi, potrebbero essere stati questi sistemi e non il mio singolo cloud server.

    
risposta data 20.10.2015 - 16:22
fonte
1

Posso solo presumere che tu abbia creato un server OpenVPN usando un modello o accedendo a detto server VPN tramite Proxy o che il server sia infetto, se per caso sono affiliati da qualunque problema indisciplinato, questa è la risposta probabile.

Se si desidera creare un server OpenVPN, suggerisco un SeedBox che si trova nei Paesi Bassi per fornire l'anonimato e nessun problema con la larghezza di banda. (Supponendo che OpenVPN sia l'errore)

Se vuoi un proxy, non provare a meno che non sia necessario perché è leakable.

Se è infetto (il che è più probabile), in tal caso è necessario ripristinare il server VPS al blocco 1 (nuova installazione).

    
risposta data 20.10.2015 - 12:47
fonte
1

Hai detto che il server OpenVPN è in Canada. È? Ne sei sicuro? Come fai a sapere che non ti stai connettendo a una rete VPN cinese continentale? (è semplificato, non tradizionale)

Ecco alcune possibilità:

  1. Il server a cui ti connetti è stato rilevato da Google come in Cina utilizzando geolocation , ma non è in Cina. Questo potrebbe accadere se il proprietario di tali indirizzi è cambiato relativamente di recente.
  2. Il server a cui ti stai connettendo è infetto. Questo sarebbe uno dei più stupidi malware che avessi mai visto.
  3. Il tuo programma VPN ti sta collegando alla VPN sbagliata
  4. C'è un bug nell'aggregatore di notizie di Google.
  5. Ti stai collegando a una rete VPN in Canada in un luogo in cui è presente una grande popolazione cinese , quindi avrebbe senso includerli. Toronto? Vancouver?
  6. Hai cinese come language pack installato sul tuo computer, e il tuo browser lo rileva e informa Google. Tuttavia, hai affermato che ciò non sta accadendo a meno che tu non sia connesso alla VPN, quindi è improbabile che si tratti di questo problema. Penso che sia molto probabile #5 , ma potrei sbagliarmi.

Hai detto che succede solo durante una singola ricerca, corretto? Ho ragione nel ritenere che se cerchi altre notizie nelle notizie e explore in depth , non viene visualizzato? È possibile che questi risultati non esistano sul sito Web di Xinhua .

È anche possibile che Google stia appena restituendo i risultati relativi a quelli.

    
risposta data 20.10.2015 - 18:52
fonte

Leggi altre domande sui tag