Dalla tua descrizione, questa competizione sembra molto simile a CyberPatriot o ad alcuni suoi derivati. Per fornire un contesto per coloro che non ne hanno sentito parlare, questo è uno stile di competizione in cui ai concorrenti vengono fornite macchine virtuali che sono deliberatamente crivellate di vulnerabilità e ricevono punti per risolverle.
Elencare tutte le possibili vulnerabilità che possono essere presenti in queste macchine è (abbastanza letteralmente) impossibile. In un certo senso questo è il riflesso di come le cose funzionano nel mondo reale: una volta che una macchina è compromessa, è estremamente difficile garantire che sia di nuovo sicura senza una completa reinstallazione del sistema operativo. Cercare di rimuovere tutte le backdoor che potrebbero essere state piantate è uno sforzo piuttosto futile che probabilmente non dovresti tentare in realtà, ma sto divagando ...
Con questo disclaimer tolto di mezzo, posso fornire un elenco di base di cose che queste competizioni spesso vogliono che tu risolva:
- Esamina il file
/etc/passwd per cercare eventuali account non autorizzati che potrebbero essere presenti sul sistema. Molti di questi possono essere account di sistema legittimi, quindi potrebbe essere necessario confrontarli con una copia del file da un sistema pulito.
- Verifica che
/etc/passwd e /etc/shadow abbiano le autorizzazioni corrette (664 e 640)
- Installa gli aggiornamenti del sistema operativo utilizzando
sudo apt-get update e sudo apt-get upgrade . Assicurati che le fonti di aggiornamento del software non siano state manomesse o disabilitate.
- Utilizza
ufw per abilitare e configurare il firewall. Blocca tutte le connessioni in entrata tranne le porte che devono rimanere in ascolto.
- Modifica manualmente tutte le password utente. Consiglia inoltre di impostare un criterio di complessità della password.
- Cerca script di avvio e attività pianificate ( cron jobs ) che potrebbe lanciare script dannosi. Controlla se c'è qualcosa in
/etc/rc.local .
- Utilizzare il comando
netstat per verificare le porte di rete su cui il sistema è in ascolto. Rimuovi tutti i programmi in ascolto sulle porte su cui la tua macchina non dovrebbe essere in ascolto.
- Cerca i rootkit con
rkhunter . Puoi eseguire una scansione del malware con clamav , ma è piuttosto dispendioso in termini di tempo.
- Se è necessario consentire le connessioni SSH, assicurarsi che SSH sia protetto. In particolare, assicurati nella configurazione SSH che le opzioni
PermitRootLogin , HostBasedAuthentication e PermitEmptyPasswords siano impostate su no .
- Controlla la cartella principale di ogni utente per una cartella nascosta
.ssh . Rimuovi eventuali voci nel file authorized_keys all'interno, se presente.
- Utilizzare il comando
ps per elencare i processi in esecuzione. Controlla eventuali processi dannosi con nome evidente.
Anche in questo caso, questo non è affatto un elenco esauriente e, se è necessario mantenere in esecuzione determinati servizi (server Web, server FTP, ecc.), ci saranno molte cose che si possono fare per proteggere in modo specifico tali servizi. Ma questo dovrebbe fornire un buon punto di partenza.
Se non sei sicuro di come eseguire una delle attività sopra elencate, dovresti riuscire a trovare istruzioni più dettagliate facilmente tramite Google.