Arranque alternativo del servidor debian hackeado

Navega tus respuestas
3

El servidor de un cliente ha sido hackeado anoche. Es una distribución estándar de Debian con mysql, apache y ssh para acceso remoto.

La forma en que ha sido hackeado es muy peculiar. La URL estándar mostraba una página de defecto con un enlace a nethack.alt.org. He buscado en todo el disco y no pude encontrar los archivos que pertenecían a esta página desfigurada (es decir, bg.jpg). Además, el servicio ssh y mysql no eran accesibles. El reinicio simple no ayudó.

Veo dos escenarios posibles:

  1. Los hackers de alguna manera instalaron un sistema paralelo que se inició en lugar del debian original.
  2. De alguna manera redirigieron todo el tráfico a algún otro servidor (dirección IP también, no solo DNS)

¿Alguien tiene experiencia con este tipo de ataque? ¿Dónde puedo buscar archivos comprometidos?

Nota: Reinstalaré todo el sistema desde cero, pero me gustaría saber cómo entraron, para poder prevenirlo en el futuro.

Editar: Información adicional. Esta línea es la última en mi syslog cuando el sistema malicioso se estaba iniciando en lugar del real. 

Jan 21 08:33:09 Debian-76-wheezy-64-minimal kernel: [   17.223513] nf_conntrack version 0.5.0 (16384 buckets, 65536 max)

En un inicio normal, el mysql se inicia en ese punto: 

Jan 21 09:12:12 Debian-76-wheezy-64-minimal mysqld_safe: Starting mysqld daemon with databases from /var/lib/mysql
    
pregunta Bojan Hrnkas 21.01.2016 - 10:25
fuente

1 respuesta

3

Desde la publicación y el diálogo posterior:

La máquina es una sibilante de Debian / 7.0 que aparentemente no ha visto actualizaciones en los últimos dos años. Faltan registros, lo que indica que los atacantes limpiaron rastros de su actividad. El OP se queja de un comportamiento divergente, que corrobora la última hipótesis. [y la página comprometida]

En cuanto a la cantidad de tiempo sin actualizaciones, ha habido varios agujeros, remotos y locales, a nivel de kernel y en demonios. Vulnerabilidades en IPv6, ICMP, ssh y así sucesivamente. Los atacantes podrían haber llegado a casi cualquier parte del sistema.

Se recomienda encarecidamente matar esta máquina.

Los hackers también suelen instalar módulos del núcleo para ocultar sus pistas. Si desea realizar un análisis de post-morten , inícielo con un CD / DVD en vivo y voltee el disco con dd en un DVD para analizarlo.

En cuanto a recomendaciones para el futuro:

  • Reglas para usar nuevas versiones del sistema operativo;

  • una política de actualización razonable. Ninguna máquina, por lo mejor que pueda ser. configurado, resistirá un ataque sin tener seguridad regular actualizaciones;

  • mantenga el principio de Unix de instalar los servicios mínimo necesarios;
  • Creando políticas de firewall, solo exponga a Internet los puertos esenciales;
  • Instale una aplicación WAF, por ejemplo, modsecurity if usando Apache;
  • actualice sus CMS con regularidad, Joomla, wordpress y Drupal tienen más agujeros que un queso suizo;
  • Considere buscar en contenedores, a saber, Docker;
  • Siga las prácticas de programación estándar para evitar ataques de capa 7 como las inyecciones de SQL;
  • Monitor de uso y actividad inusual;
  • Mantener copias de seguridad regulares.
respondido por el Rui F Ribeiro 21.01.2016 - 12:20
fuente

Lea otras preguntas en las etiquetas

Emisión comprometida CA Identificando la manipulación EXIF