Cómo evaluar los daños en un servidor SSH comprometido en una computadora personal

1

Debido a una supervisión estúpida por mi parte, he abierto mi computadora personal con Linux en la Internet pública por un poco más de 48 horas. Desafortunadamente, me di cuenta de mi error demasiado tarde y encontré varios intentos exitosos de inicio de sesión forzado brutales en el registro de mi sistema, desde direcciones IP de todo el mundo. Además, el usuario que utilizaron para iniciar sesión tenía acceso de root. Las sesiones solo duraron un segundo cada una, por lo que supongo que se trata de accesos automáticos desde bots que exploran Internet en busca de servidores SSH abiertos.

Aquí hay una entrada de ejemplo de mi registro del sistema:

Jul 01 16:17:51 hostname sshd[21370]: Accepted password for user from 146.0.XXX.XXX port 50424 ssh2
Jul 01 16:17:51 hostname sshd[21370]: pam_unix(sshd:session): session opened for user user by (uid=0)
Jul 01 16:17:51 hostname sshd[21370]: pam_unix(sshd:session): session closed for user user

Ahora, por favor, no me ridiculicen, me he dado cuenta de la gravedad de mi error y considero que mi computadora está totalmente comprometida. Configuraré una instalación nueva, recuperaré cuidadosamente los datos de las copias de seguridad antes de la infiltración y cambiaré todas mis contraseñas y claves.

Lo que me gustaría saber es cómo evaluar el daño causado. ¿Puedo ver los comandos que ejecutan esos bots y los datos a los que acceden? Desafortunadamente, .bash_history no contiene ninguna entrada nueva para mi usuario o el usuario root. Dado que las sesiones solo duraron un segundo cada una, espero que no hayan podido descargar mucha información privada de mi disco duro.

    
pregunta ox33 02.07.2018 - 02:05
fuente

1 respuesta

1

El hecho de que la conexión ssh estuvo abierta por un tiempo corto no dice nada sobre el daño. Puede ser que se haya instalado algún daemon malicioso y se haya accedido o descargado su información más adelante, sin ssh o scp o herramientas similares.

.bash_history puede haber sido manipulado. Es por eso que no hay nuevas entradas no significa que no se ejecutó ningún comando.

Puede evaluar exactamente el daño solo si ha guardado todo el tráfico de su red desde ese momento y si puede descifrarlo. De lo contrario, solo podemos hablar de probabilidad y riesgo.

    
respondido por el mentallurg 02.07.2018 - 05:18
fuente

Lea otras preguntas en las etiquetas