私は古いDebian Lennyを実行しているサーバーを持っています。はい。それが問題の半分でしょう。また、PHPMyAdminとProFTPdもあります。もう一度理解してください。これはすべて悪い兆候です。
ただし、生涯にわたってこのユーザーがどのようにログインし、ファイルを追加し、コマンドを実行するかはわかりません。
彼らはscreen
セッションを開始し、そのようなものを入力してnano file.sh
スクリプトを作成して./file.sh
実行できます。これはSSHアクセス権があるという意味ですか?私は理解できません。
すべてのログファイルを確認しました。どこにもいない認証の成功が表示されます。私はusers
私が入力できるすべての小さなコマンドをチェックします。who
last
何もない誰かがログインしていることを示してください。
時々、私は彼らが500
所有する新しいディレクトリを作成します1XXX
が、そのアカウントを検索すると表示されないことがわかりました。
何が起こっているのかを調べるために私ができることはありますか?私たちはサーバーを整理する予定です。誤解しないでください。しかし、今後このような問題を避けるために、正確に何が起こっているのか知りたいです。
私は「phpmyadmin、サポートされていない古いディストリビューション、ftpなどを使用しないでください」というアドバイスをしたくありません。私たちの新しいサーバーには安全ではないものはなく、パスワードSSH認証キーを使用します。
私は、ユーザーがいつログインしたのか、どこでログインしたのかを確認する方法を理解しようとしています。もちろん、私は十分な情報を提供していないかもしれませんが、誰かの注意を引くかもしれませんか?ありがとうございます。
ベストアンサー1
ほとんどのスクリプトと手動侵入は次のとおりです。
- ログエントリと同様の侵入の兆候をクリーンアップします。
- デフォルトのサーバープログラムの外部からシステムにアクセスできるようにルートキットをインストールします。
- デフォルトプログラム(たとえば、ps、netstat、lsなど)を、上記のルートキットのすべてのアクティビティを非表示の操作バージョンに置き換えます(つまり、psは実行中のルートキットプロセスを表示しません)。
時々、これらの攻撃は誤って発生し、痕跡を残します。しかし気にしない:システムの診断ツールは信頼できません。
試してみて学びたい場合は、次のことができます。
たとえば、「rkhunter」[*]をインストールして実行すると、既知のルートキットがあることを確認しますが、次のものがないと出力は信頼できません。
- 侵入が発生する前に少なくとも1回実行してください。
- 攻撃者がシステムにrkhunterのインストールを見落としたことを願っています(rkhunter自体を操作せずに)。
リカバリCD/USBから起動
- システムディスクをマウントし、リカバリシステムのバイナリを表示します。
- バイナリのmd5sumを既存のバージョンと比較します。
- システムを仮想マシンにロードし、ネットワークトラフィックを調べます。
簡単に言うと: このようなオープンシステムで攻撃ベクトルを見つけることはほとんど不可能です。何らかの方法で:
責任を持ってお願いします。できるだけ早くシステムを切断してください。そして最初からリセットしてください。
[*]や他のIDSシステムもたくさんあります。