¿Qué hacer cuando se posee una cuenta de Linux?

Navega tus respuestas
0

¿Cuál es el mejor curso de acción cuando descubre que una cuenta de Linux que no es administrador se ha hecho suya, y se está ejecutando un solo proceso extraño, que hace todo tipo de conexiones de red?

Por ejemplo, ¿cómo se tomaría una instantánea completa del proceso para un análisis futuro?

Tenga en cuenta que el ejecutable en sí podría haberse eliminado, por lo tanto, incluso el propio binario tendría que a través de un inodo con algo como debugfs , pero también está la cuestión de conservar otras pruebas.

    
pregunta cnst 03.09.2014 - 21:07
fuente

1 respuesta

2

Suponiendo que la cuenta raíz no se haya comprometido (y no es una buena suposición, el atacante puede haber utilizado un ataque de escalada de privilegios sin dejar rastreos), puede confiar en los archivos de registro y utilidades del sistema. En este caso, descargaría la memoria del programa para su análisis (por ejemplo, activando un volcado de núcleo ), archivar el usuario archivos y los directorios temporales, y luego borre la cuenta y los archivos del usuario y restaure desde la copia de seguridad.

Los detalles técnicos son más adecuados para un sitio como Unix SE .

    
respondido por el Mark 03.09.2014 - 22:23
fuente

Lea otras preguntas en las etiquetas

Alguien está intentando piratear mi servidor PHP Extracción de claves a través del procesamiento de señales eléctricas