¿Cómo puedo saber si la cuenta raíz se ha comprometido?

2

Mi servidor fue hackeado con algunos archivos sobrescritos para generar enlaces de spam en la página de índice. Todas mis copias de seguridad anteriores contienen los mismos archivos modificados, lo que hace que la opción de enturbiar desde la órbita sea un vómito. Si la raíz del servidor no se ha comprometido, tengo la intención de simplemente eliminar la infección y monitorear más. ¿Cuáles son los signos a tener en cuenta para determinar si mi raíz ha sido comprometida?

    
pregunta user67892 07.02.2015 - 10:36
fuente

1 respuesta

3

Su computadora ha sido rooteada si un usuario no autorizado (¿cómo se define? se vuelve difícil en los sistemas con muchas cuentas) ha tenido acceso a ella. Si JoeUser es una cuenta con poco acceso a algo de importancia (¿cómo se define? ¿Por quién? ¿Cómo se rastrea el nivel de importancia?) No se perderá mucho, pero cualquier acceso no autorizado (es decir, hostil) tiene el potencial de nuevas violaciones, dado el cómo se comportan los seres humanos comunes: vea la película Juegos de guerra para ver una historia entretenida y no demasiado fantástica con el drama, o Cuckoo's Egg de Cliff Stoll para obtener una descripción mucho más realista, aunque todavía dramática, de la realidad. Las cosas no han mejorado mucho desde la pequeña aventura de Stoll (y la base de datos de Internet del navegador / web / servidor / en vivo ha hecho las cosas mucho más peligrosas), y los recursos oficiales (govt., Corp., Org., ...) aún no tienen ni idea .

Por otra parte, si JoeUser es la cuenta del superusuario local, cualquier infracción es más o menos desastrosa, ya que todo en la máquina (s) en principio se pierde por completo. Todos los datos, toda la información de configuración y, probablemente, toda la información de conectividad (topología, todas las contraseñas (si los usuarios han sido tontos), ...). Es probable que un atacante quiera seguir teniendo acceso a la (s) máquina (es) y, por lo tanto, intente configurar el sistema para que funcione normalmente, salvo que cuando el atacante quiera acceder a otras depredaciones, todavía esté disponible para él.

Las técnicas utilizadas para tales cosas son tan variadas como la imaginación y la astucia de las personas. Suelen llamarse rootkits. Dado que muy pocas personas son realmente buenas en este tipo de cosas, y dado que muchos atacantes son personas de nivel scriptkiddie, las técnicas a menudo se reutilizan. Hay varios programas de escaneo de rootkits (algunos buenos, otros no tan buenos, ...) que pueden encontrar los rastros dejados por algunos (quizás muchos) de estos esquemas. Pero si el escáner de rootkits que eliges no tiene conocimiento de la técnica de rootkit que se usó en tu máquina, no lo sabrás. O, peor aún, ¿qué pasa con la situación en la que el ataque de rootkitting en su máquina no se puede rastrear al buscar rastros en su disco o memoria de la máquina, o es realmente nuevo y ninguno de los programas de escaneo de rootkits tiene ninguna disposición para encontrar evidencia? de eso?

En realidad, en general, no tendrá el tiempo ni la experiencia suficiente en su máquina (SO) particular para encontrar rastros de rootkit que ningún escáner pueda encontrar. Por lo tanto, como cuestión práctica, la opción de reformateo / reinstalación de medios confiables / reconfiguración / prueba de aceptación / oración es probablemente la única con credibilidad real.

En su caso, es posible que no haya sido rootkit. Dependiendo de la configuración del software de su servidor, es posible que no se haya requerido el acceso de root para hacer la distribución de spam que usted reporta. Si es así, puede simplemente reformatear la partición del servidor (si así lo ha configurado) / reinstalar / ... Configuración inadecuada del servidor y sus recursos (archivos, acceso a ejecutables y otras cuentas) Los archivos (p. ej., solo lectura para operaciones SSL, archivos de configuración especiales, configuración ejecutada de PATH en el entorno, ...) pueden haber sido el punto de entrada.

Asegúrese de que su servidor esté correctamente bloqueado para evitar dicho acceso, no es una tarea fácil. Requiere un tiempo considerable y experiencia en el seguimiento de tableros, libros, conferencias, ... para asegurarse de estar al día con las mejores prácticas actuales, que, por supuesto, pueden tener vulnerabilidades ocultas que nadie conoce actualmente.

No hay respuestas fáciles. no está disponible y no lo estará hasta que los estándares de Internet sean menos porosos de lo que son actualmente.

    
respondido por el user67915 08.02.2015 - 02:02
fuente

Lea otras preguntas en las etiquetas