Вопросы Теги

Мой сервер Unix был поставлен под угрозу?

Я думаю, что Вы смущены из-за HISTCONTROL=ignoreboth. Посмотрите здесь: http://www.linuxjournal.com/content/using-bash-history-more-efficiently-histcontrol

2
13.01.2014, 23:33
1 ответ

Ложные аварийные сигналы

Вышеупомянутый журнал показывает, что кто-то пытался ворваться в систему, но они были неудачны. Эта строка показывает, что они попробовали и перестали работать 5 раз к SSH в систему как корень.

PAM 5 больше ошибок аутентификации...

Если Вы видите эти виды сообщений в Ваших журналах, хорошо исследовать их так, чтобы Вы поняли то, что они имеют в виду, но также и не быть слишком предупрежденными ими также.

Примечание: Этот тип болтовни в журналах часто упоминается как IBR (интернет-Радиационный фон) или IBN (интернет-Фоновый шум).

Убежденный Вы были взломаны? - Как диагностировать

Будучи кем-то, кто работал с ФБР одно время прежде в моем прошлом, они были следующими вещами, которые я сделал для диагностирования сервера, который был поставлен под угрозу. Это без определенного порядка!

  1. Удалите систему сразу.

  2. Если Вы подозреваете, что система была поставлена под угрозу, Вы больше не можете доверять ни одному программному обеспечению на этом сервере. Так используйте альтернативные инструменты, т.е. или завершите работу сервера и смонтируйте диск, назначенный ведомым устройством, или начальная загрузка с известного хорошего живого CD/USB.

  3. В журналы, возможно, вмешались, но начинают Ваш анализ путем тщательного исследования их для аномалий.

  4. Заархивируйте систему. Если Вы не создавали резервную копию его, сделайте так теперь.

  5. Перепроектируйте, как взломщики вошли так, чтобы Вы поняли уязвимости и могли заблокировать их в будущем.

  6. Сохраните заархивированный набор системы, на всякий случай что сотрудники правоохранительных органов могут разоблачить выяснение у Вас информация о Вашей системе.

  7. Перепроектируйте любые черные ходы и/или программное обеспечение взломщики, установленные так, чтобы можно было понять, для каких низких целей система использовалась взломщиками.

  8. Выполните свой анализ с помощью скопированных данных.

  9. Когда Вы переустанавливаете, удостоверьтесь, что Вы не переустанавливаете поставленные под угрозу данные или уязвимый код.

6
27.01.2020, 21:54
  • 1
    я также указал бы, что нет никакого стандартного способа определить, поставлен ли сервер под угрозу. Это - просто природа безопасности системы. Если бы был способ обнаружить его, это работало на каждый сценарий, аналитики по вопросам безопасности были бы без работы :-). Я также привел бы доводы против точки № 1 в этом случае. ssh предоставленные записи в журнале очень характерны для публично доступного ssh сервера. При взятии системы вниз каждый раз, когда Вы видели их, у Вас было бы больше времени простоя, чем время работы. Просто необходимо использовать решение. –  Patrick 13.01.2014, 06:16
  • 2
    @Patrick - благодарит за обратную связь. Я пытался разделить это как 2 части. 1-е обсуждает это, журналы нормальны. 2-ми были шаги, которые можно сделать, если Вы думаете, что был взлом. –  slm♦ 13.01.2014, 06:20
  • 3
    @Patrick - который помогает? Я пытался разделить немного больше с помощью заголовков. –  slm♦ 13.01.2014, 06:23
  • 4
    Не Был бы 1 быть дампом памяти? dd if=/dev/fmem of=mem … –  Runium 13.01.2014, 06:27
  • 5
    @Sukminder - уверенный, обратите внимание, что это без определенного порядка. Я сказал что прямо прежде, чем дать список. –  slm♦ 13.01.2014, 06:32

Теги

Похожие вопросы