¿Encontrar una puerta trasera en un servidor?

Navega tus respuestas
5

Supongamos que contrate a alguien (independiente) para el trabajo de TI en un servidor Ubuntu. El servidor tiene un buen firewall, ejecuto clamav, chkrootkit & rkhunter escanea semanalmente y trato de mantener las buenas prácticas.

La cuestión es que si sospecho que instaló alguna puerta trasera en la máquina, ¿cómo la buscarías? Tenía acceso de root y un montón de tiempo, así que ...

Sé que este tema se ha discutido anteriormente, pero la mayoría eran respuestas teóricas más que prácticas.

NOTA: Esto está en un servidor remoto, por lo que no puedo hacer un análisis basado en hardware.

    
pregunta Agustín Covarrubias 08.06.2016 - 02:59
fuente

2 respuestas

6

Para expandir el punto @ tlng05, los autores de rootkits son profesionales, a menudo con décadas de experiencia. A menos que tenga décadas de experiencia en la lucha contra rootkits, entonces ellos sabrán más escondites que usted: P

Si sospechas que hay un rootkit, entonces tu única opción es borrar el sistema. Este es un ejemplo clásico de Reflexión de Ken Thompson sobre la confianza en la confianza " tienes que confiar en la gente, porque nunca encontrarás la vulnerabilidad ".

La próxima vez, sugiero ser más estricto sobre a quién le das acceso de root.

    
respondido por el Mike Ounsworth 08.06.2016 - 04:39
fuente
1

Eso depende en gran medida de la complejidad del ataque. Si se trata de una puerta trasera simple, tiene la oportunidad de encontrar / eliminar la puerta trasera con el siguiente método:

1. 

netstat -antp

busque el puerto / programa de envío y recuerde el pid + ip.

2. 

lsof -p <the pid>

busca las matrices que están apareciendo. (Estos son los archivos utilizados por el proceso de envío)

3.

  • Intenta eliminar estos archivos
  • Bloquea la IP a través de. iptables ( tutorial )
  • Cambia las contraseñas de todos tus usuarios
  • reza

Tenga en cuenta que esta es NO una forma garantizada de eliminar la puerta trasera. Como ya se ha mencionado tlng05 , el método más seguro sería hacer una copia de seguridad de sus archivos importantes y limpie el sistema completo. (Recomiendo encarecidamente hacerlo también)

    
respondido por el licklake 08.06.2016 - 08:34
fuente

Lea otras preguntas en las etiquetas

¿Hay algún bloqueador de pantalla de escritorio de OpenBSD seguro? ¿Por qué debo ocultar las claves de la API?