Quanto compromesso dovrei presumere che il mio computer sia?

Question

Quanto compromesso dovrei presumere che il mio computer sia?

#1 da (1 voti)

0

Avevo girato ssh un po 'di tempo fa per fare un po' di lavoro remoto. Stavo solo guardando alcune informazioni di netstat quando ho notato che qualcuno aveva stabilito una sessione ssh con me D: ho disattivato immediatamente ssh e ho cercato indirizzo .

Netstat ha detto che la sessione ssh è stata "stabilita". Suppongo che questo significhi che conoscono la mia password e che cambierò in entrambi i modi, ma voglio sapere se sicuramente conoscono la mia password. Presumo che il mio computer abbia perso perché c'erano 68 pacchetti nel mio Send-Q; Non so esattamente cosa sia, ma non mi piace il bit "Invia".

Sto bene se ho solo cancellato il mio computer e riportato tutti i miei dati su di esso? Non faccio nulla di importante e non mi collego a reti che potrebbero avere materiale di ricerca sensibile o conservare molte informazioni bancarie o personali. Dovrei "bombardarlo dall'orbita" o è eccessivo? Se non lo è, come faccio a farlo?

passwords ssh system-compromise

posta Loktopus 23.05.2014 - 03:31

fonte

1 risposta

Leggi altre domande sui tag passwords ssh system-compromise

Exploiting buffer overflow Come faccio a inserire JavaScript in un'immagine JPG e ad eseguirlo quando caricato?

score 1 · Accepted Answer

Se lasciare o meno l'SSH esposto è soggetto a dibattito. Lo eviterò.

Quando si tenta di accedere a un server SSH, si completa l'handshake prima di immettere le credenziali. Ciò significa che anche senza un nome utente o una password, una connessione SSH può apparire come stabilita. Se qualcuno cercasse di forzarti brutalmente, vedresti alcune connessioni consolidate.

Dovresti controllare i tuoi file di log del server. Se hanno accesso come root, è facile nascondere qualsiasi azione sbagliata, quindi questa non è una garanzia.

Vorrei iniziare con il tuo ultimo registro per vedere i tuoi accessi di successo più recenti. Quindi verificherei i tentativi di accesso SSH falliti e verificherei se esiste una relazione con quell'IP

grep sshd.\*Failed /var/log/auth.log | less

C'è più che puoi e dovresti fare se ti senti come se fossi stato compromesso. Non ho intenzione di coprire tutto, ma volevo suggerire che esiste la possibilità che tu non sia stato compromesso basandoti esclusivamente sui dati che hai fornito.