Невозможно настроить iptables для пассивного режима ftp [дубликат]
Давайте станем параноиками! Прежде всего, выключите этот Linux и используйте команду dd, чтобы сделать полную копию дисков.
Система напрямую подключена к Интернету? Если нет, это хорошо, вы можете начать анализировать его трафик, чтобы мы могли определить некоторые полезные вещи. Если ответ положительный, попробуйте поставить какую-нибудь машину между ним и Интернетом. Почему бы не понюхать прямо внутри машины? С помощью руткита можно будет стать невидимым для обнюхивания, и наши усилия будут пустой тратой времени.
Я настоятельно рекомендую вам извлечь всю свою информацию, код, базы данных и вручную просмотреть все, чтобы убедиться, что в них нет бэкдоров.
Восстановите похожую машину, с той же версией каждой библиотеки, а затем просканируйте всю систему, вычисляя хэш всего, используйте SHA1 или SHA2, с MD5 мы можем легко вычислять коллизии, мы параноики, помните это! Сравните оба списка, а также попытайтесь обнаружить любой необычный параметр в grub / lilo, любую странную загрузку модуля.
Также проверьте пользователей и ключи ssh. Проверьте исходный код на наличие ошибок, например, он может запускать код как apache и оставить бэкдор для повышения привилегий до пользователя root.
Все проверки должны выполняться с использованием образов диска в автономной среде.
Возвращаясь к сеансу прослушивания, попробуйте обнаружить необычный трафик. Если ваша машина была взломана, возможно, она будет использована для чего-то незаконного, например, для DDoS-атак или для того, чтобы стать опорой для другой атаки.
Как только вы определите, откуда злоумышленник подключается (держу пари, что он использует TOR) и как он подключается, вы можете начать его отслеживание. Определите, является ли ваш сервер автоматизированным сценарием или реальным пользователем. Вы можете загрузить и изменить bash / sh / zsh или оболочку, которую использует злоумышленник для сохранения журналов, даже если пользователь отключил переменную. Сделайте то же самое с SSH, измените код, чтобы создать где-нибудь еще, журнал с запущенными процессами и входами в систему. Если он подключается через бэкдор (это наиболее вероятно), попробуйте определить, как он работает, и определите, для чего он использует ваши системы.
Зачем это нужно? Потому что, если он делает что-то незаконное, рано или поздно кто-то его выследит и найдет на пути. Лучший способ избежать серьезных неприятностей - получить доказательства того, что происходит, а после этого попытаться закрыть эту среду и найти хорошего юриста.