誤ってかなり安全でないパスワードを使用して、私のコンピュータの1つにSSHを接続するためにルータの開いているポートを残しました。私は/var/log/auth.logをチェックしましたが、外部エントリが1つしかなかったのでわかりました。 bashの記録もなく、簡単に目立つものもありません。コンピュータが破損していないことを確認するには、何を確認する必要がありますか?
ベストアンサー1
必要に応じて徹底的に確認してください。賢い攻撃者は、簡単に発見できる兆候を残し、賢く隠された他のバックドアを隠すことができます...確かに判断することは不可能です。
問題は、いったん損傷すると、マシン(およびアクセス権を持つ他のマシン)が信頼できなくなるということです(なぜなら、彼らが何を変更したのかわからないためです。したがって、変更したと仮定する必要があります。 /カーネル、コマンド、ファイルシステム、ブートセクタなど、「正常に」実行し、特定のファイルやフォルダ、またはネットワークパケットを隠すすべてです。できないハッカーがアクセスしたシステム上のすべてのコマンドを信頼します。 )
しばしば最良の戦略(そして最速!)は「軌道から核攻撃」アプローチです。すべてのネットワーク(LANなど)からシステムのプラグを抜き、文書をバックアップし、CD(つまり、変更されていないクリーンCD)を使用して再インストールします。フルマシン。ソースがあります。)その後、その文書のみを復元します(exe、dll、バイナリ、スクリプトなし(または徹底的に確認)など)。ネットワークに再接続する前に、まず脆弱性の原因を解決してください。
問題は、そのシステムに加えてLANにアクセスできるようになると、ツールを使用して他のシステム(ルーターを含む)にアクセスできることです。
同じ戦略が次にも適用されます。
「調査」部分は他の人とは異なる時間に任せてください(時間があるときはディスクを保管してください)。
パターン詳細プロセスのために、https://serverfault.com/a/218011/146493、通過ロブム、合理的で重要なステップを含む良い読書です。