¿Podemos saber hasta qué punto ha llegado el hacker en su intento?

Navega tus respuestas
1

Descubrí 'accidentalmente' al buscar en mi historial de comandos, que alguien ha emitido estos: 

passwd
w
cat /proc/cpuinfo
free -m
uptime
w
perl v.py
python v.py
chmod +x *
./a 94.10

y estos: 

./a 52.30
rm -rf scan.log sparte.txt
./a 208.43 22
./a 208.43
rm -rf md
chmod +x *
rm -rf scan.log sparte.txt
./a 31.79 22
rm -rf scan.log
./a 163.172 22
rm -rf scan.log
./a 212.1
./a 212.1 22
rm -rf scan.log
rm -rf scan.log sparte.txt
./a 212.219 22
w
chmod +x *
rm -rf scan.log sparte.txt
./a 185.61 22
w
chmod +x *
cat sparte.txt
rm -rf scan.log sparte.txt
./a 81.102 22
./a 212.1 22
cat /proc/cpuinfo
free -m
rm -rf scan.log sparte.txt
chmod +x *
./a 31.220 22
rm -rf scan.log sparte.txt
./a 78.47 22
rm -rf scan.log sparte.txt

El aparentemente un intruso noob (pirata informático) que no borró los registros ha aprovechado una contraseña débil para ssh en mi servidor, ya que lo ha intentado con la raíz: 

Apr  1 06:35:39 ns346721 sshd[6641]: Failed password for root from 42.7.26.49 port 19029 ssh2

Pero ten éxito aquí

Apr 3 21:36:54 ns346721 sshd[26814]: Accepted password for [USERNAME] from 176.223.29.2 port 52054 ssh 2

En la carpeta de inicio del usuario objetivo, el intruso ha cargado / generado algunos archivos: 

/home/[USERNAME]/f
├── /home/[USERNAME]/f/a
├── /home/[USERNAME]/f/brute
├── /home/[USERNAME]/f/hu
├── /home/[USERNAME]/f/mass
├── /home/[USERNAME]/f/passfile
├── /home/[USERNAME]/f/scan.log
└── /home/[USERNAME]/f/vuln

supongo que algunos de ellos fueron la salida de un archivo de python en /home/[USERNAMEID/v.py que después de mi búsqueda tiene el contenido de este enlace

y el archivo 'a' : 

#!/bin/bash
./brute 800 -b $1 passfile $2 "uname -a"

Lamentablemente, no se puede mostrar nada legible en el archivo 'brute' , ya que tiene un contenido binario.

Cuando se descubrió el problema, todavía se estaba ejecutando un proceso con [NOMBRE DE USUARIO]; así que acabo de terminar.

Lo que he hecho:

  • Se cambió la contraseña del usuario objetivo [NOMBRE DE USUARIO]
  • ssh deshabilitado para todos los usuarios excepto root (sé que tampoco debería estarlo).
  • Se eliminaron todos los procesos bajo el usuario [NOMBRE DE USUARIO]

Ahora mi principal preocupación es saber qué ha hecho este intruso hasta ahora en el servidor.

¿Existe un procedimiento bien establecido para verificar y limpiar archivos y procesos malintencionados?  -

    
pregunta elsadek 07.04.2018 - 13:54
fuente

1 respuesta

4

A un nivel alto, lo que está buscando se llama Plan de respuesta a incidentes. Lo ideal es que su organización haya creado una Política de seguridad de la información, y este sería uno de los elementos recomendados en la política.

El NIST tiene un buen plan que puede ver y seguir: Manejo y respuesta a incidentes Guía .

En el nivel inferior, todavía estás en medio de un ataque. No puede estar seguro de que el atacante no haya creado una puerta trasera en algún lugar de su red. Considere contratar a una empresa de seguridad profesional para asegurarse de que su respuesta sea adecuada para su organización.

    
respondido por el John Deters 07.04.2018 - 14:10
fuente

Lea otras preguntas en las etiquetas

¿Cuál es el significado de Spectre y Meltdown? ¿Es peligroso el uso de AES-CBC?