Debido a una supervisión estúpida por mi parte, he abierto mi computadora personal con Linux en la Internet pública por un poco más de 48 horas. Desafortunadamente, me di cuenta de mi error demasiado tarde y encontré varios intentos exitosos de inicio de sesión forzado brutales en el registro de mi sistema, desde direcciones IP de todo el mundo. Además, el usuario que utilizaron para iniciar sesión tenía acceso de root. Las sesiones solo duraron un segundo cada una, por lo que supongo que se trata de accesos automáticos desde bots que exploran Internet en busca de servidores SSH abiertos.
Aquí hay una entrada de ejemplo de mi registro del sistema:
Jul 01 16:17:51 hostname sshd[21370]: Accepted password for user from 146.0.XXX.XXX port 50424 ssh2
Jul 01 16:17:51 hostname sshd[21370]: pam_unix(sshd:session): session opened for user user by (uid=0)
Jul 01 16:17:51 hostname sshd[21370]: pam_unix(sshd:session): session closed for user user
Ahora, por favor, no me ridiculicen, me he dado cuenta de la gravedad de mi error y considero que mi computadora está totalmente comprometida. Configuraré una instalación nueva, recuperaré cuidadosamente los datos de las copias de seguridad antes de la infiltración y cambiaré todas mis contraseñas y claves.
Lo que me gustaría saber es cómo evaluar el daño causado. ¿Puedo ver los comandos que ejecutan esos bots y los datos a los que acceden? Desafortunadamente, .bash_history
no contiene ninguna entrada nueva para mi usuario o el usuario root. Dado que las sesiones solo duraron un segundo cada una, espero que no hayan podido descargar mucha información privada de mi disco duro.