Archivo no identificado en Ubuntu

2

No estoy seguro de si esto debería ir bajo seguridad o Ubuntu, pero creo que mi servidor fue hackeado de alguna manera. Está alojado en Digital Ocean y lo uso principalmente para jugar con las cosas. Hoy recibí una notificación de NewRelic de que mi servidor ha superado el 90% del uso del disco. Al iniciar sesión, ejecuto un df -h normal para encontrar esto:

Filesystem Size Used Avail Use% Mounted on
210.42.248.9:/public/home2 917G 826G 46G 95% /var/tmp/temp

Lo encuentro extraño porque no he montado nada recientemente, pero solo toqué el servidor en un par de meses. Puedo ver todos los archivos en el recurso compartido, pero nada parece ser útil. Sólo un montón de binarios y alquitranes en carpetas. La propiedad intelectual parece ser de China. Recibí la notificación hoy, así que verifiqué fstab y el historial de cuentas creadas en el servidor. No veo nada sospechoso, pero estoy empezando a pensar que me hackearon. Sé que esto es posible pero ¿cómo? ¿Alguien ha visto algo como esto? ¿Hay algo que pueda hacer más para evitar esto?

Detalles del servidor: cuenta root deshabilitada, puerto ssh cambiado, soy el único usuario con acceso y no he iniciado sesión en meses. Esto tuvo que haber ocurrido hoy porque recibí el aviso de NewRelic esta mañana.

    
pregunta deltra 09.06.2015 - 01:59
fuente

1 respuesta

1

En primer lugar, ¿ha contactado con el soporte técnico ? Si hay una investigación forense que realizar, no debe entrometerse con su servidor, sino marcarlo y dejar que ellos hagan su investigación.

En segundo lugar, suponiendo que el soporte técnico no quiera o no pueda ayudar, el hecho de que recibió la notificación el día X no implica que el montaje se haya producido el día anterior. Por lo que está escribiendo, la notificación le informa sobre el uso del disco local y la salida muestra un montaje remoto. ¿La notificación se activa para todos los montajes o solo montajes locales?

En tercer lugar, mire en los registros y vea si puede encontrar algo sospechoso, incluyendo fallas de montaje, inicios de sesión desde la raíz u otras cuentas en los dos meses que sabe que no ha tocado el servidor. Es posible que desee ver el contenido del montaje remoto y find el archivo creado más temprano por su usuario (parece un montaje NFS, así que supongo que hay paridad de usuarios entre el suyo y el sistema remoto).

    
respondido por el lorenzog 09.06.2015 - 07:54
fuente

Lea otras preguntas en las etiquetas