Linux sunucum saldırıya uğradı. Nasıl ve ne zaman yapıldığını nasıl öğrenebilirim?

Masaüstü ubuntu dağıtımını çalıştıran bir ev sunucum var. Bunu crontab'ımda buldum

* * * * * /home/username/ /.access.log/y2kupdate >/dev/null 2>&1

ve bu dizine bakarken (kullanici adindan sonraki alan / bir dizin adidir) Açıkçası yapmamaları gereken bir şey yapan çok sayıda komut dosyası buldum.

Bu bilgisayarı silmeden ve bir şeyleri yeniden yüklemeden önce, güvenlik ihlaline neyin neden olduğunu ve ne zaman yapıldığını öğrenmek istiyorum. Böylece aynı deliği tekrar açmıyorum.

Hangi günlük dosyalarına bakmalıyım? Bilgisayarda çalışan farkında olduğum tek sunucular sshd ve lighttpd.

Böyle bir şeyin tekrarlanıp gerçekleşmediğini tespit etmek için ne yapmalıyım?

İlk olarak, bilgisayarın herhangi bir ağ ile bağlantısının kesildiğinden emin olun.
İkinci olarak, saldırıya uğrayan işletim sistemini yeniden başlatmadan önce sürücülerden önemli verileri aldığınızdan emin olun.

Söz konusu dosyalardaki zaman damgalarını kontrol ederek başlayın. Genellikle doğrudurlar.
Silinmediyse httpd günlüğüne ve kimlik doğrulama günlüğüne çapraz referans verin. Biri diğeri silinmişse, bunun giriş aracı olduğunu iddia edebilirsiniz. Hala incelerlerse, günlükten nasıl girdikleri hakkında daha fazla bilgi edinebilirsiniz.

Eğer hepsi silinirse, oldukça mahvoldun. Ne olduğunu anlamak, değerinden daha fazla zaman alacaktır.

Bu iki hizmetin çalıştığını söylediniz, diğer her şeye erişilmesini önlemek için iyi bir güvenlik duvarı var mıydı? Port 22'de SSH'ye izin verdiniz mi; girişinizi tahmin etmek oldukça kolaydır; şifre girişlerine izin verdiniz mi; şifre girişleri için herhangi bir gerçek oran sınırlaması yaptınız mı? Lighttpd ile kurulu başka bir yazılımınız var mı; perl; pHP; cGI; veya benzeri bir CMS mi? Tüm yazılımın güncellenmiş sürümünü çalıştırıyor muydunuz; çalıştırdığınız tüm yazılımlar için güvenlik bildirimlerine abone oluyor musunuz ve çalıştırdığınız / herkese açıkta bıraktığınız yazılımlara uygulanıp uygulanmadığını görmek için tüm bildirimleri dikkatlice değerlendiriyor musunuz?

Bu kendi içinde bir konu; daha fazla bilgi için google for linux adli tıp. Temel olarak çevrimdışı analiz için öncelikle sürücülerinizin bir görüntüsünü oluşturmanız, ardından bilgisayarı silmeniz ve temiz bir sayfadan yüklemeniz gerekir.

Ve tüm gelişmeleri hatırla. Bilgisayarı kullanan herkesin şifreleri bozulmuş olabilir. Şifreleri değiştirin, "temiz bir odaya" (yalıtılmış VM) ulaşıncaya kadar çevrimdışı tutun.

Aksi takdirde günlükleri kontrol (sahte olabilir) ve uygulamalarınızı kontrol (php komut dosyaları? Veritabanları? En son düzeltmeler için güncelleştirildi? Diğer kullanıcılar parola veriyor?)

Sunucuda adli çalışma yapmanız ve delikleri kontrol etmeniz gerektiğinden, sorunuzu cevaplamanın kolay bir yolu yoktur. Bazı otomatik araçlar kullanabilirsiniz, ancak saldırganın Kök ayrıcalıkları varsa, artık sistem ikili dosyalarına güvenemeyeceğinizi ve günlüklere güvenemeyeceğinizi unutmayın.

Gelecekteki saldırılara gelince, ne kadar güvenli yapmak istediğinize bağlı olarak, günlüklerinizi sadece sistem günlüklerini kaydetmek için kullanılan bir sisteme yönlendirerek başlayabilirsiniz. Saldırı izini azaltmak için başka erişim yok.

Dosyalarınızın bütünlüğünü kontrol etmek için sisteminizde Tripwire gibi sağlama toplamı yazılımı da çalıştırırsınız.

Ve elbette güncellemelerden haberdar olun ve rootkit'leri kontrol eden tarama yazılımını çalıştırın.

Yine güvenlik bir geçiş noktası değildir. Kendi içinde de bir uzmanlık alanı olabilir. Katmanlı güvenlik, ağınıza ait olmayan ana bilgisayarları / IP'leri kontrol etmek, sisteme tüm erişimi şifrelemek, sisteminizde günlük değişikliklerin size gönderilmesini sağlamak ve ağınızda bir bal küpü kurmak kadar sıkı olabilir. garip etkinlik ara (sunucum neden bal küpü bilgisayarındaki 25 numaralı bağlantı noktasına bağlanmaya çalışıyor?)

Her şeyden önce, etkinliği kontrol etmek istiyorsanız, disk görüntüsünü alın ve sunucu yazılımını yeniden yükleyin. Sıfırdan. Sunucunun ikili dosyalarına artık güvenilemez.

EDIT - SSH çalıştırdığınız için başıma gelen diğer bazı şeyler - denyhosts yükleyin. SSHD'de sisteminize karşı otomatik saldırıların X deneme sayısından sonra kilitleneceği şekilde yapılandırılabilir. Ayrıca, otomatik saldırıları en aza indirmeye yardımcı olmak için kilitli IP'leri paylaşmak üzere bir "bulut" içindeki diğer denyhost sunucularından güncelleme yapacak şekilde yapılandırılabilir. Dinlediği bağlantı noktasını da taşıyabilirsiniz; birçok insan bunun sadece gizlilik yoluyla güvenlik olduğuna işaret eder, ancak botların taraması göz önüne alındığında, bu, rastgele girme girişimlerini önemli ölçüde azaltır.