Come valutare il danno sul server SSH compromesso sul personal computer

1

A causa di uno stupido controllo da parte mia, ho aperto il mio personal computer con Linux per l'internet pubblica per poco più di 48 ore. Sfortunatamente, ho realizzato il mio errore troppo tardi e ho trovato diversi tentativi di accesso forzato brute nel mio log di sistema, da indirizzi IP di tutto il mondo. Inoltre, l'utente che hanno usato per accedere aveva l'accesso come root. Le sessioni duravano solo un secondo ciascuna, quindi presumo che si trattasse di accessi automatici da parte di robot che eseguono la scansione di Internet per i server SSH aperti.

Ecco una voce di esempio dal mio registro di sistema:

Jul 01 16:17:51 hostname sshd[21370]: Accepted password for user from 146.0.XXX.XXX port 50424 ssh2
Jul 01 16:17:51 hostname sshd[21370]: pam_unix(sshd:session): session opened for user user by (uid=0)
Jul 01 16:17:51 hostname sshd[21370]: pam_unix(sshd:session): session closed for user user

Ora per favore, non prendermi in ridicolo - ho realizzato la gravità del mio errore e considero il mio computer completamente compromesso. Installerò una nuova installazione, recupererò attentamente i dati dai backup prima dell'infiltrazione e cambio tutte le mie password e chiavi.

Quello che vorrei sapere è come valutare il danno che è stato causato. Posso esaminare i comandi eseguiti da quei bot e i dati a cui accedono? Sfortunatamente, .bash_history non contiene nuove voci per il mio utente o l'utente root. Dal momento che le sessioni sono durate solo un secondo ciascuna, spero che non possano aver scaricato molti dati privati dal mio disco fisso?

    
posta ox33 02.07.2018 - 02:05
fonte

1 risposta

1

Il fatto che la connessione ssh sia stata aperta per un tempo breve non dice nulla sul danno. Può essere stato installato un daemon dannoso e le informazioni sono state scaricate o scaricate in seguito, senza ssh o scp o strumenti simili.

.bash_history potrebbe essere stato manipolato. Ecco perché nessuna nuova voce non significa che nessun comando è stato eseguito.

Puoi valutare esattamente il danno solo se hai salvato il tuo intero traffico di rete da quel momento e se puoi decodificarlo. Altrimenti possiamo solo parlare di probabilità e rischio.

    
risposta data 02.07.2018 - 05:18
fonte

Leggi altre domande sui tag