¿Cómo recuperar el acceso al servidor?

3

Tengo un servidor Debian con KVM disponible 24/7. Recientemente se introdujo y se cambió su contraseña de root.

Mi proveedor de alojamiento ha restaurado mi acceso y me ayudó a cambiar la contraseña. Pero en el caso general, ¿cómo puedo protegerme de la piratería y asegurarme de que esto no vuelva a suceder? Además, ¿cómo puedo recuperar el acceso al servidor?

    
pregunta Art Pip 17.01.2013 - 20:50
fuente

3 respuestas

3

Aunque hay mucho que puede hacer para proteger su caja, pero creo que es muy difícil asegurarse de que esto no vuelva a suceder si el servidor no se administra correctamente.

Bueno, con la modificación de la contraseña de root, literalmente, su servidor es de su propiedad y se convierte en una entidad compartida entre usted y el pirata informático, que es un no no para los administradores de sistemas.

Al recuperar el acceso a su servidor para una caja de Linux (la suya debe ser un servidor dedicado, un servidor dedicado o su propio servidor colocado en el proveedor de alojamiento, pero puedo estar equivocado), ¿creo que la respuesta habitual es ssh? Si no puede acceder al servidor ssh con sus credenciales, es posible que deba ponerse en contacto con su proveedor de alojamiento para que lo ayude.

Después de eso, debes averiguar el punto de entrada sobre cómo el hacker penetró en tu servidor (que es donde se encuentra la vulnerabilidad).

Lugares para mirar:

  1. Vulnerabilidad en el código de secuencias de comandos del lado del servidor (php, asp, aspx, jsp, cfm y etc.)
  2. Vulnerabilidad en los procesos que ejecuta su servidor (apache, ftp, servidor de correo, ssh)
  3. Etc (no aparece en la lista porque es demasiado amplio)

Cómo lidiar con eso:

  1. Rastree los registros de su servidor para detectar cualquier señal de incidente de piratería (si el pirata informático ya ha eliminado los registros, no tendrá suerte de que deba revisar los códigos por su cuenta) y corrija la vulnerabilidad.
  2. Puede hacer una verificación de aquí para cualquier vulnerabilidad de 0 días escribiendo el nombre del software y la versión de eso y espere a que el proveedor lo arregle o puede hacerlo usted mismo (si sabe cómo hacerlo).
  3. Etc (no está cubierto ya que hay demasiadas soluciones para diferentes conjuntos de problemas)

Si logró recuperar una copia de seguridad de su proveedor de alojamiento durante el incidente de piratería, se recomienda que no la restaure y la use tal como está (solo recupere el contenido) como un shell puede estar incrustado en su código y el pirata informático puede acceder a él y piratearlo nuevamente.

La próxima vez, deshabilite los procesos que no necesita (es decir, el servidor de correo, ldap o ftp si no envía correos electrónicos o utiliza un servicio basado en la web para cargar sus archivos) ya que aumenta la posibilidad de ser pirateado. (se pueden probar más vectores de ataque en su servidor) o limitarlo a solo su IP (consiga una IP estática en la que pueda lograrlo a través de algunos métodos).

Ya sea que destruyas tu servidor o no, es tu llamada, aunque te recomiendo que lo detengas.

    
respondido por el wcypierre 18.01.2013 - 09:09
fuente
3

Si un individuo puede obtener suficiente control de su servidor para que pueda cambiar la contraseña de root, entonces básicamente es el propietario de la máquina y sigue siendo el propietario , incluso si cambió la contraseña nuevamente:

  • La vulnerabilidad a través de la cual entró el intruso todavía existe hasta que lo encuentres y lo arregles, para que pueda volver a voluntad.

  • La primera tarea que realiza cualquier intruso a medias al ingresar a una máquina es plantar algunos accesos adicionales en caso de que el administrador del sistema intente evitar algunos procedimientos de limpieza simples en la máquina. Esto se denomina backdoor . Las personas con acceso de raíz pueden plantar puertas traseras que nunca encontrará desde la propia máquina (porque la puerta trasera incluye una modificación del núcleo cuyo trabajo es ocultar la puerta trasera).

Por lo tanto, lo único sensato que puede hacer con su máquina es hacer lo que tradicionalmente se denomina en estas partes " desde la órbita ". Tienes un reformateo + reinstalación desde cero. Lo siento. Mala suerte Para su próxima instalación, intente elegir contraseñas más seguras y aplique actualizaciones de seguridad con más frecuencia (debe apuntar a actualizaciones diarias para minimizar los riesgos de compromiso).

Al menos, la ventaja clave de la tecnología de la información sobre la medicina es que, en el campo de la tecnología de la información, usted no es demandado por reformatear pacientes.

    
respondido por el Thomas Pornin 17.01.2013 - 21:15
fuente
1

En su forma actual, la primera parte de la pregunta (acerca de cómo protegerse para no ser hackeado) es probablemente demasiado amplia para un formato Q / A. Asegurar un servidor en general es un tema muy amplio en el que se basa toda una industria. Ciertamente, mantener los parches actualizados y limitar el acceso al servidor al acceso más restrictivo posible es un buen comienzo, pero hay mucho más que eso.

En cuanto a cómo recuperar el acceso, siempre que no haya datos encriptados, generalmente se trata de iniciar el hardware con otro sistema operativo, como un LiveCD y luego reemplazar los archivos que definen al usuario con una contraseña conocida. Sin embargo, esto no otorga acceso a ninguna clave de cifrado asociada con el usuario anterior. Si no tiene acceso físico a la caja, sus opciones son mucho más limitadas y mucho más desafiantes y no hay una solución única para todos.

También vale la pena señalar que si su sistema ha sido comprometido, simplemente cambiando la contraseña no solucionará el hecho de que su sistema se vio comprometido en primer lugar. A menos que simplemente tengas una contraseña increíblemente débil (y quizás incluso entonces), cualquier cosa que hayan usado para obtener acceso y lo que haya colocado en tu sistema mientras tenían acceso aún puede permitirles recuperar el control nuevamente. La mejor opción es reconstruir el sistema después de realizar una copia de seguridad de los datos críticos.

    
respondido por el AJ Henderson 17.01.2013 - 22:12
fuente

Lea otras preguntas en las etiquetas