Digital Ocean "Droplet" totalmente comprometida para un sitio web trivial y no publicado. ¿Debería preocuparme por mi propia máquina?

Navega tus respuestas
2

Recibí un mensaje de D.O. sobre mi Droplet diciendo que lo cerraron porque había mucho tráfico saliente que parecía un ataque. El sitio que tenía en ese servidor no era muy conocido. Me sorprendería si 20 personas lo hubieran visto. No está relacionado con dinero o información confidencial en absoluto.

Suponiendo que D.O. es correcto, ¿cuáles son las fuentes probables de este ataque? ¿Podría ser a través de mi propia máquina que uso para ssh en mi D.O. servidor con una clave ssh? es decir, ¿podría alguien haber usado mi propia máquina de forma ilegítima y remota para ssh en mi Droplet? Me sorprendería si mi propia máquina estuviera comprometida. Funciona con Linux y solo lo uso para desarrollo (no piratear, pornografía, etc.). ¿Necesito reinstalar el sistema operativo y limpiar mi propia máquina o es probable que este supuesto hacker / bot haya ingresado de alguna manera sin relación con mi propia computadora?

Sé que no puede estar seguro en mi propio caso, pero cualquier información general sobre este tema podría ayudar. Gracias.

    
pregunta user45940 03.05.2014 - 23:16
fuente

3 respuestas

1

La presencia de cualquier servicio en Internet hará que sea atacado en cierta medida, ya que algunos atacantes solo buscan recursos gratuitos (ancho de banda, potencia de la CPU) y no se preocupan demasiado por lo que hay en el host. .

Suponiendo que parchea el sistema operativo, no es muy probable que el servicio SSH se haya comprometido directamente, pero si está ejecutando una aplicación web, una falla de seguridad en eso (por ejemplo, Inyección de SQL o Inclusión de archivos remotos) podría permitir al atacante para tomar el control del sistema.

Suponiendo que tiene copias de seguridad, lo mejor sería destruir la gota y volver a crear el sistema, pero también revisar la seguridad de su aplicación web.

    
respondido por el Rоry McCune 02.07.2015 - 13:56
fuente
0

Ser un desarrollador te hace más un objetivo, no menos uno. Los desarrolladores (como los villanos pueden haber deducido correctamente en su caso) a menudo tienen credenciales de inicio de sesión en sus casillas para los sistemas que administran.

Si le resulta fácil aplicar una manguera a su máquina y sabe que puede restaurarla de fuentes confiables, hágalo. Si desea sumergirse profundamente en su caja, ejecute varios escáneres AV; ejecute Wirehark o un proxy y descubra hacia dónde se dirigen las conexiones salientes desde su caja. Esto puede ser difícil y llevar mucho tiempo, especialmente dado el número creciente de aplicaciones legítimas que "llaman a casa".

Entonces, por supuesto, usted examinará y / o aplicará una manguera al servidor, si D.O. te dejará.

No se sabe por qué o quién te hackeó.

Y cambia tu clave ssh.

    
respondido por el user35648 04.05.2014 - 01:59
fuente
0

Para ser franco: no existe tal cosa como un sitio web no publicado . Hay bots que rastrean rutinariamente todos los números de IP y buscan servidores web en los puertos habituales.

Cuando encuentran un servidor web, pueden probar algunas configuraciones erróneas conocidas u otras vulnerabilidades para controlar el servidor. En caso de éxito, pueden enviar correos electrónicos no deseados o atacar a otros objetivos en Internet.

La verificación de intrusiones en su máquina doméstica nunca es una mala idea, aunque creo que el ataque fue directamente al servidor web. Espero que sus contraseñas para la máquina doméstica y el servidor web sean diferentes, de lo contrario, un compromiso del servidor web también ha revelado la contraseña de su máquina doméstica.

    
respondido por el jknappen 01.08.2015 - 22:08
fuente

Lea otras preguntas en las etiquetas

encfs y contraseñas ¿La verificación de 2 pasos de Google protege al usuario del secuestro de sesión?