¿Debo preocuparme si el "FBI" ha iniciado sesión en mi Ubuntu VPS?

Se puede configurar una dirección IP en DNS para que se resuelva a cualquier nombre de host, por quienquiera que tenga el control de esa dirección IP.

Por ejemplo, si tengo el control del bloque de red 203.0.113.128/28, entonces puedo configurar 203.0.113.130 para revertir-resolución a presidential-desktop.oval-office.whitehouse.gov . No necesito el control de whitehouse.gov para hacer esto, aunque puede ayudar en algunas situaciones (en particular, con cualquier software que verifique que la resolución de revertir y reenviar coincida ). Eso no significa que el presidente de los Estados Unidos haya iniciado sesión en su VPS.

Si alguien tiene acceso a su sistema, puede cambiar la configuración del sistema de resolución, lo que le permitirá resolver cualquier nombre a cualquier dirección IP o cualquier dirección IP a cualquier nombre. (Si tienen ese nivel de acceso, también pueden causar todo otro tipo de estragos en su sistema).

A menos que y hasta que verifique que la dirección IP que se utilizó para iniciar sesión en realidad está registrada en el FBI, no se preocupe de que el nombre del host sea uno bajo fbi.gov . Esa asignación de nombres muy bien puede ser falsificado. Preocúpate de que haya habido un inicio de sesión exitoso en tu cuenta que no puedas explicar, desde una dirección IP que no reconozcas.

Es probable que si el FBI deseara los datos en su VPS, utilizaran un enfoque un tanto menos obvio para obtenerlos.

Debería preocuparse, pero no por el nombre de host de fbi.gov.

Vaya a leer ¿Cómo trato con un servidor comprometido? en Server Fault, y ¿Cómo explica la necesidad de “atacar desde la órbita” a la administración y los usuarios? aquí en Seguridad de la información. En serio, hazlo. Hazlo ahora; no lo pospongas.

Creo que DEBES preocuparte si alguien tiene acceso no autorizado a tu servidor. Como han mencionado otros, no hay mucho trabajo para falsificar el nombre de host DNS inverso. Tal vez quieran que creas que está bien que una agencia gubernamental tenga acceso a tu servidor para que no investigues más el incidente.

Debería hacer una copia de seguridad de todos los registros del servidor para un análisis posterior y, preferiblemente, reconstruir su servidor para eliminar cualquier riesgo que pueda causar un servidor comprometido. Después de eso, usted (con la ayuda de un experto) debe configurar el servidor con las mejores prácticas y precauciones de seguridad.

Entonces, ¿debería preocuparse si fue el FBI o está bien si solo fuera un hacker casual? Desde los registros, alguien inició sesión con éxito en un host que usted controla. Se debe asumir comprometido independientemente de quién sea. Deséchelo y reconstrúyalo.

También tenga en cuenta que cualquier persona que tenga control de un bloqueo de IP específico puede crear una entrada de DNS inversa. No es necesario que se resuelva con algo que ellos controlan, es decir, si controlo un bloqueo de IP, puedo crear una entrada inversa a quien yo elija. Las entradas inversas y hacia adelante no tienen que coincidir, y a menudo son mantenidas por diferentes personas.

Mátalo con fuego. Como ayer.

El DITU del FBI o cualquier otra unidad cibernética de cualquier sopa de letras que incluya al Ejército CYBERCOM no es NO en el negocio de simplemente acceder a su sistema desde fbi.gov, alguien está bromeando con usted: no El investigador serio / TF está haciendo algo aparente.

Lo que debe preocuparte es cómo alguien con un conocimiento de skiddie superior a la media tuvo acceso a tu VPS e hizo eso.

Vuelve al primer punto: destrúyelo.

Tómalo desde la perspectiva humana.

No es del FBI. El FBI sabe mejor que eso para iniciar sesión desde fbi.gov.

PERO el punto principal es , cualquier persona que inicie sesión en su sistema sin autorización, debe ser investigado. Mi recomendación sería mover su sistema a otro lugar y reemplazarlo con un sistema solo para análisis forense. Agrega un honeypot para distraer al pirata informático para que puedas grabar sus movimientos.

Tienes dos formas:

1. Es un hacker que tiene acceso a sus credenciales para iniciar sesión en su VPS.
2. El FBI tiene acceso a todos los servidores de alojamiento y usted necesita obtener una respuesta de su compañía de alojamiento, pero no lo creo.

Analice sus archivos de copia de seguridad y verifique si su configuración es segura, si el usuario root puede conectarse o no, si ha creado un usuario específico para el acceso ssh o no, etc.

Cambie su contraseña de SSH, y verifique y realice un seguimiento cada semana si hay una actividad sospechosa en su VPS.

Normalmente, un pirata informático intentará ocultar su identidad. Por lo general, no usan una dirección IP para sus ataques que se resolverán con su verdadera identidad. Así que fbi.gov es falso.

Por otro lado, se sabe que los servicios secretos filtran "accidentalmente" el hecho de que están observando a alguien, para que la persona u organización entre en modo de pánico, cometa errores o simplemente huya del país.

Echa un vistazo por la ventana. ¿Hay una furgoneta de aspecto sospechosamente inofensivo estacionada fuera de tu edificio? ¿Algún tipo que se parezca al Agente Smith de la Matriz?

Probablemente no.

Suponga que su sistema está comprometido. Es posible que el pirata informático aún no tenga nada especial, pero existe un mercado para los servidores que se puede utilizar con fines ilegítimos. Es posible que contenga pornografía infantil en aproximadamente una hora (si aún no la ha activado).

Me preocuparía más la integridad de su sistema que el inicio de sesión del FBI; En cuanto a la falsificación de DNS o la definición de reversos de fbi.gov, es mucho más fácil para el atacante volver a escribir su dirección "real" con un "fbi.gov" en los campos de dirección de /var/log/wtmp y /var/log/lastlog . La estructura de los campos de esos archivos ha sido documentada por décadas.

Me preocuparía más que te hackeen, ya que si juegas con tus registros para plantear fbi.gov y direcciones reales del FBI, es necesario el acceso de root para los archivos mencionados anteriormente.

Parece probable que su VPS haya sido comprometido seriamente, deséchelo y vuelva a instalar todo nuevamente.

Como la gente ha estado diciendo ... destrúyelo. Esta es también una buena razón por la que debe hacer una copia de seguridad de los datos que no se colocan en un sistema mediante una reinstalación en otra ubicación.

En segundo lugar, después de volver a instalar, asegúrese de que cualquier cuenta que tenga una contraseña tenga una contraseña muy segura. Use algo como keepass para generar una cadena aleatoria larga para cualquier contraseña que no sea la que usa para su usuario principal. Utilizo más de 16 contraseñas de caracteres aleatorios incluso en máquinas a las que no se puede acceder desde fuera de mi firewall, y mis hosts bastion ahora tienen 24+, ya que nunca se debe iniciar sesión directamente como root (esto no incluye el uso de claves ssh autorizadas), ni tampoco se debe usar su Si tiene que hacer otra cosa que no sea una emergencia extrema, está haciendo algo mal.

Finalmente, con respecto a las claves SSH ... cualquier clave que use en el oeste salvaje de Internet, nunca uso menos de claves de 2048 bits, y en su mayoría utilizo 4096 bits o más.

Todo esto no lo protegerá contra alguien que obtenga acceso de root a través de la puerta trasera a través de algún proceso como sendmail (como lo hice hace años cuando era responsable de UN * X en CompuServe), luego cambiar una contraseña, para luego venir en la puerta principal, tampoco lo protegerá contra una pieza de malware que terminó ejecutando en la máquina para abrir las cosas, pero será una excelente manera de fortalecer su sistema.

Ah ... y todo esto sobre la falsificación de DNS inversa ... esa es una de las razones por las que los archivos de datos utilizados por los comandos como el último incluyen a menudo la dirección IP, y por qué todos los registros de servicios también deben registrar la dirección IP. Un last -i mostrará la dirección IP en sí, y no hará el DNS inverso. Otros comandos tienen banderas similares.

Me preocuparía si el verdadero FBI fuera tan incompetente para cometer tal error. Los hackers reales asumirían que reconstruirás si dejan que su presencia sea conocida. Son niños o aspirantes descuidados jugando.