Servidor Ubuntu hackeado, probablemente comandos pirateados (netstat, ps, ...), ¿cómo reemplazarlos? [duplicar]

Navega tus respuestas
7

Un servidor Ubuntu de mi empresa ha sido hackeado para llevar a cabo un ataque DoS. Encontré que bug de shellshock no fue corregido por mis colegas, y creo que ese es el problema. Luego, encontré un archivo ELF que envía miles de mensajes, y el script se genera automáticamente por algo. Incluso si trato de eliminarlo, se crea nuevamente solo usando un nombre nuevo (en / boot, /etc/init.d). Además, veo que el comando netstat no me muestra todos los puertos abiertos reales. Tal vez ha sido reemplazado el comando? ¿Cómo es posible reinstalarlo?

    
pregunta roghan 28.11.2014 - 12:28
fuente

2 respuestas

59

Debería "atacar desde la órbita": borre y vuelva a instalar el sistema operativo y las aplicaciones desde medios de origen limpios, y luego cuidadosamente restaure los datos desde la copia de seguridad.

    
respondido por el Graham Hill 28.11.2014 - 12:47
fuente
8

Siempre es una cuestión de esfuerzo vs resultado. Si un atacante ha ganado el control total sobre el sistema, hay miles de cosas que pueden ser reemplazadas o troyanas. Cazarlos uno por uno es una muy tarea que consume mucho tiempo.

Si los atacantes no son muy sofisticados, puedes comenzar a buscar archivos que hayan sido modificados recientemente. Un punto de partida es buscar archivos en su sistema que se hayan modificado por última vez en / usr / bin y / sbin (donde se encuentran la mayoría de los comandos). 

ls -ltr /usr/bin

Compruebe lo que está pasando en / etc mirando los archivos que se han modificado en los últimos 10 días: 

find /etc -mtime -10

Estos son realmente primeros pasos básicos, y no cubren los procesos actualmente en ejecución (y potencialmente ocultos), que pueden ocultar cualquier cambio reciente en el sistema. . Es por eso que esto se puede convertir en un juego del gato y el ratón que puede durar semanas si pierde un solo punto de entrada.

Lamentablemente, la reinstalación es la mejor opción. ¡Menos tiempo y resultados casi garantizados!

    
respondido por el Milen 28.11.2014 - 13:27
fuente

Lea otras preguntas en las etiquetas

¿Cómo funciona un ataque a una firma digital? ¿Cuánto tiempo tomaría la fuerza bruta de un pdf protegido por AES-128 sabiendo que la clave tiene 20 letras y que el conjunto de caracteres es A-Z, 0-9?