¿Cómo saber si un host se ha comprometido y vuelve a protegerlo? (caso particular de una frambuesa) [duplicado]

Navega tus respuestas
1

Estoy ejecutando un Raspberry PI y accidentalmente dejé el puerto 22 abierto desde una IP pública durante aproximadamente 24 horas. La distribución raspbian de Raspberries viene por defecto con un usuario "pi" y una contraseña "frambuesa", así que me temo que podría haber sido comprometida.

Acabo de cambiarle la contraseña. ¿Cuál es la forma recomendada ahora para verificar que no haya acceso de intrusos que haya eliminado sus huellas digitales (es decir, eliminar entradas de /var/log/auth.log, etc.)? ¿Cómo puedo verificar si él no creó un usuario que no estaba allí por defecto en el sistema? ¿Hay alguna manera de asegurar el servidor nuevamente sin la necesidad de reinstalar el sistema operativo?

    
pregunta knocte 27.12.2015 - 15:25
fuente

2 respuestas

4

Es imposible probar que un atacante no haya comprometido su servidor. Siempre es posible que un atacante haya accedido e instalado malware que se quedaría atrás.

Lo más seguro es reinstalar el sistema operativo. Esta es la única forma en que realmente puede saber que es un sistema operativo sin compromisos. La contraseña de la cuenta se debe cambiar para que, con el acceso público, un atacante no pueda iniciar sesión.

Al mirar los registros de mi sistema, mi servidor recibe alrededor de 1000 inicios de sesión incorrectos por día, la mayoría utiliza el nombre de usuario raíz, pero algunos usan pi.

    
respondido por el Eric Johnson 27.12.2015 - 15:40
fuente
2
  

¿Hay alguna manera de asegurar el servidor nuevamente sin la necesidad de reinstalar el sistema operativo?

Si el dispositivo realmente se vio comprometido, la respuesta es: no

Y debido a que no hay forma de estar 100% seguro de que nadie haya accedido a su sistema en estas 24 horas, pero estar seguro es el tipo de probabilidad más alto posible y podemos hablar de probabilidad.

Cuando asumimos que su oponente potencial fue renunciar a una persona inteligente, no podrá probar que accedió a su sistema incluso cuando lo hizo. Podría haber alterado cada archivo de registro, el historial de bash, los atributos del sistema de archivos y las fechas que podrían indicar que algo sucedió, ... pero estos tipos son bastante raros y, a menudo, la gente se olvida de hacer una de las preguntas más importantes: < em> ¿Soy una víctima interesante? Si tiene que responder a esta pregunta, es probable que no sea víctima de este tipo de atacante.

La mayoría de los ataques que ocurren a nivel técnico no son llevados a cabo por hackers altamente calificados. Se realizan automáticamente mediante botnets o scriptkiddies que escanean millones de hosts todos los días y tienen la suerte de salirse con un puñado de hosts comprometidos. Estos oponentes no son tan difíciles de detectar y tampoco intentan ocultar sus actividades porque quieren cantidad y no calidad.

Puede preguntarle a su proveedor de servicios si se ha establecido alguna conexión ssh en las últimas 24 horas. Si es un proveedor profesional, es posible que se lo puedan informar. También puede supervisar los procesos ejecutados y el tráfico generado cuando no usa el dispositivo de forma activa. Pero siempre mantenga el esfuerzo en un nivel adecuado .

    
respondido por el davidb 27.12.2015 - 15:58
fuente

Lea otras preguntas en las etiquetas

¿Qué historial de navegación tendría exactamente la policía bajo el cambio de ley propuesto en el Reino Unido? Inglés simple ¿Mi contraseña está visible en una conexión SSL / TLS a través de una red inalámbrica sin protección?