A causa di uno stupido controllo da parte mia, ho aperto il mio personal computer con Linux per l'internet pubblica per poco più di 48 ore. Sfortunatamente, ho realizzato il mio errore troppo tardi e ho trovato diversi tentativi di accesso forzato brute nel mio log di sistema, da indirizzi IP di tutto il mondo. Inoltre, l'utente che hanno usato per accedere aveva l'accesso come root. Le sessioni duravano solo un secondo ciascuna, quindi presumo che si trattasse di accessi automatici da parte di robot che eseguono la scansione di Internet per i server SSH aperti.
Ecco una voce di esempio dal mio registro di sistema:
Jul 01 16:17:51 hostname sshd[21370]: Accepted password for user from 146.0.XXX.XXX port 50424 ssh2
Jul 01 16:17:51 hostname sshd[21370]: pam_unix(sshd:session): session opened for user user by (uid=0)
Jul 01 16:17:51 hostname sshd[21370]: pam_unix(sshd:session): session closed for user user
Ora per favore, non prendermi in ridicolo - ho realizzato la gravità del mio errore e considero il mio computer completamente compromesso. Installerò una nuova installazione, recupererò attentamente i dati dai backup prima dell'infiltrazione e cambio tutte le mie password e chiavi.
Quello che vorrei sapere è come valutare il danno che è stato causato. Posso esaminare i comandi eseguiti da quei bot e i dati a cui accedono? Sfortunatamente, .bash_history
non contiene nuove voci per il mio utente o l'utente root. Dal momento che le sessioni sono durate solo un secondo ciascuna, spero che non possano aver scaricato molti dati privati dal mio disco fisso?