Aggiornato il titolo della domanda per chiarire che questo post non chiede alla comunità di rispondere "come siamo stati violati" ma "quali log cercare o puntatori che possono aiutare la nostra indagine". Riteniamo che questa domanda sia stata messa sottosopra perché è stata fraintesa.
Il nostro DB Postgres è stato violato e trattenuto per ottenere un riscatto. Hacker cancellò tutte le tabelle nel DB e creò una singola tabella chiamata "warning" con una singola riga che chiedeva 0.5 BTC per restituire una copia del nostro DB.
Non abbiamo alcun esperto di sicurezza residente né alcuno Ops o esperto di Linux o DBA.
Qualcuno potrebbe suggerire da dove iniziare la nostra indagine? Quali file di registro cercare Postgres o Ubuntu o Rete?
Fortunatamente abbiamo avuto un backup in modo da poter ripristinare il nostro sistema, ma non riuscivamo ancora a capire come ci siamo fatti hackerare.
Riga dalla tabella "warning". column: warning_text: invia 0.5 BTC a questo indirizzo e vai a questo sito link per recuperare il tuo database! Il dump SQL sarà disponibile dopo il pagamento!
Aggiornamento: ulteriori informazioni Qualche informazione in più: SSH stava solo per accedere a questa istanza. Tuttavia, avevamo tutte le porte aperte, il che era un errore, ma eravamo un po 'incuranti perché era il nostro ambiente di test. La nostra prima ipotesi è che la password predefinita di account db postgres sia stata hackerata attraverso la forza bruta, ma non sappiamo dove cercare di rintracciarlo.
I file di registro di Postgres hanno registri come quello sotto che mostra che alcuni script sh stavano caricando il DB. Ma non sappiamo quali registri cercare per tracciare come hanno violato la password e come / quando hanno cancellato le tabelle nel DB e creato la tabella degli avvisi.
- 29/12/2016 01: 01: 25-- link Connessione a 173.199.124.112:8090 ... connessa. Richiesta HTTP inviata, in attesa di risposta ... 200 OK Lunghezza: 1061 (1.0K) [applicazione / x-sh] Salvataggio in: '/tmp/mpool.sh'
0K . 100% 249M=0s
2016-12-29 01:01:25 (249 MB / s) - "/tmp/mpool.sh" salvato [1061/1061]
% Totale% Ricevuto% Xferd Velocità media Tempo Tempo Tempo Corrente Dload Upload Total Spent Left Speed ^ M 0 0 0 0 0 0 0 0 -: -: - -: -: - -: -: - 0 ^ M100 1061 100 1061 0 0 6567 0 -: -: - -: -: - -: -: - 6590